WindowsにSMB悪用の脆弱性、パスワードが盗まれる可能性

security-150126

突然だが想像してみてほしい。
セキュリティ対策は入念に、一度対策すれば終わりではないということを。

セキュリティ企業のCylanceは「Windows」の新しい脆弱性を発見したと発表しており、悪用されるとWindows 10を含むあらゆるバージョンのWindowsを搭載するすべてのPC、サーバ、タブレットに影響を及ぼすとしています。

発見された脆弱性は「Redirect to SMB」と呼ばれ、WindowsのServer Message Block(SMB)を悪用し、1997年に最初に発見された脆弱性を発展させるもので、「file://」で始まるURLをInternet Explorer(IE)に入力すると、WindowsがSMBサーバに接続しようとしてユーザー名やパスワードなどのログイン情報を提供してしまいます。

Cylanceの研究チームでは、脆弱性を利用し悪意のあるサーバでの認証を試みるようなリンクを作成し、ユーザにクリックさせユーザ名とパスワードをを取得するとしており、パスワードは暗号化されているもののブルートフォース攻撃(総当たり攻撃)によって破られる可能性があります。

この脆弱性はリンクをクリックしなくても、ソフトウェアアップデータのようなWindowsのバックグラウンドで自動で更新されるようなプログラムにも影響を与え、AppleやAdobe、Oracleといった大手各社のソフトウェアアップデート機能が影響を受ける可能性があるとしており、対策を呼び掛けています。

カーネギーメロン大学CERTによると、この問題はAVGのウイルス対策ソフトが影響を受けることが確認されており、Cylanceによれば、他にもSymantec、Githubなど少なくとも31社のソフトウェアが影響を受ける可能性があると発表しています。

しかし、Microsoftはこの問題について、深刻な脆弱性であるという懸念はあたらないとしており、「この攻撃を引き起こすには、さまざまな要因が重なる必要がある」と述べるにとどまり、今後のアップデートで修正するかどうかは不明です。

現状での対策として、ローカルネットワークからWANへのアウトバウンドSMB接続(TCP 139番および445番ポート)のブロックや、Group Policyを通じたNTLMの制限などを挙げ、ソフトウェアの認証用にNTLMをデフォルトで使わないよう呼び掛けています。

Cylanceでは、今回の研究がきっかけとなって、Microsoftがこの脆弱性に対処することを望むと促しています。

スポンサーリンク
スポンサーリンク

コメントをどうぞ

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です