WindowsにNTLM認証情報の窃取可能にする新たなゼロデイ、非公式パッチがリリース | Codebook|Security News
Codebook|Security News > Articles > Threat Report > WindowsにNTLM認証情報の窃取可能にする新たなゼロデイ、非公式パッチがリリース

Threat Report

NTLM

NTLMハッシュ

Silobreaker-CyberAlert

WindowsにNTLM認証情報の窃取可能にする新たなゼロデイ、非公式パッチがリリース

佐々山 Tacos

佐々山 Tacos

2024.12.09

12月7~9日:サイバーセキュリティ関連ニュース

WindowsにNTLM認証情報の窃取可能にする新たなゼロデイ、非公式パッチがリリース

BleepingComputer – December 6, 2024

攻撃者によるNTLM認証情報の窃取を可能にし得るWindowsの新たなゼロデイ脆弱性について、0patch社が報告。Windows 7およびServer 2008 R2からWindows 11 24H2およびServer 2022までのWindowsの全バージョンに影響を与えるこの脆弱性には現時点でCVE IDが割り当てられておらず、マイクロソフトによる公式パッチもまだリリースされていないという。

0patchの研究チームが発見したこのゼロデイは、ターゲットユーザーを誘導してWindows Explorer(File Explorer)内で有害なファイルを閲覧させることにより、NTLM認証情報の入手が可能になるというもの。この攻撃は、そのような有害ファイルの置かれた共有フォルダやUSBディスクを開いたり、攻撃者のWebページから自動でダウンロードされた有害ファイルを含むダウンロード・フォルダを開いたりするだけで可能となり、必ずしも当該ファイル自体が開かれる必要はないという。

0Patcは実際の攻撃における悪用が促進されないよう、これ以上の技術的詳細は明かしていない。ただ、BleepingComputer紙が理解するところによれば、この脆弱性はリモートシェアへのNTLMのアウトバウンド接続を強制するものだという。これによりWindowsは自動的にNTLMハッシュをログイン済みユーザーへ送付するようになるため、攻撃者はこれを盗むことが可能になる。そしてNTLMハッシュをクラッキングできれば、ログイン名および平文のパスワードを入手することができる。

マイクロソフトはすでに0patchからこの脆弱性について報告を受けているものの、現時点でまだ公式なセキュリティパッチをリリースしていない。一方で0patchは無料で入手可能な非公式パッチを提供中。0patch提供のパッチを入手することが難しいユーザーには、NTLM認証を無効化するというリスク軽減策が推奨されるとのこと。

人気のWordPressプラグインWP Umbrellaに重大な脆弱性:CVE-2024-12209(CVSS 9.8)

Securityonline[.]info – December 7, 2024

3万以上のWordPressサイトで使用されている人気のプラグイン「WP Umbrella」における重大な脆弱性CVE-2024-12209について、Wordfenceが注意喚起。CVSSスコアが9.8(Critical)と評価されるこの脆弱性により、認証されていない攻撃者によるWebサイトの完全な乗っ取りが可能となる恐れがあるという。

今回見つかったCVE-2024-12209は、ローカルファイルインクルージョンの脆弱性。2.17.0およびそれ以前の全バージョンのWP Umbrellaが影響を受ける。攻撃者は「umbrella-restore」アクション内の「filename」パラメータを改ざんすることによりこれを悪用することが可能。悪用が成功すれば、有害なコードを注入してそれをサーバー上で実行できるようになるほか、当該サイトのファイルやデータベースにもアクセスできるようになる可能性があるという。

WP Umbrellaを使用するサイトのオーナーや管理者には、最新バージョンの2.17.1へ速やかにアップデートすることが強く推奨されている。

【無料配布中!】ランサムウェアレポート&インテリジェンス要件定義ガイド

ランサムウェアレポート:『2024 Ransomware? What Ransomware?』

以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート2024 Ransomware? What Ransomware?の日本語訳バージョンを無料でダウンロードいただけます。

<レポートの主なトピック>

  • 主なプレーヤーと被害組織
  • データリークと被害者による身代金支払い
  • ハクティビストからランサムウェアアクターへ
  • 暗号化せずにデータを盗むアクターが増加
  • 初期アクセス獲得に脆弱性を悪用する事例が増加
  • 公に報告された情報、および被害者による情報開示のタイムライン
  • ランサムウェアのリークサイト – ダークウェブ上での犯行声明
  • 被害者による情報開示で使われる表現
  • ランサムウェアに対する法的措置が世界中で増加
  • サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
  • 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠

インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』

以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック要件主導型インテリジェンスプログラムの構築方法の日本語訳バージョンを無料でダウンロードいただけます。

<ガイドブックの主なトピック>

本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。

  • 脅威プロファイルの確立
  • ステークホルダーの特定・分析
  • ユースケースの確立
  • 要件の定義と管理
  • データの収集と処理
  • 分析と生産
  • 報告
  • フィードバック
  • 実効性の評価

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ