WindowsにNTLMハッシュ開示の新ゼロデイが存在、非公式パッチがリリースされる

佐々山 Tacos

2025.03.26

WindowsにNTLMハッシュを漏洩させる新たなゼロデイ、非公式パッチがリリースされる

BleepingComputer – March 25, 2025

リモートの攻撃者によるNTLM認証情報の窃取を可能にするWindowsの新たなゼロデイの非公式無料パッチが利用可能に。この脆弱性を発見したACROS Securityが、同社サービス0patchを通じてマイクロパッチの提供を開始している。

ACROS Securityの研究者らによると、当該ゼロデイは、ターゲットユーザーを騙してWindows Explorerで有害なファイルを閲覧させることによりNTLM認証情報を取得できるようになるというもの。悪用は、悪性ファイルを含んだ共有フォルダやUSBディスクを開かせるか、事前に攻撃者のWebページから悪性ファイルを「ダウンロード」フォルダへ自動ダウンロードしておいてそのフォルダを開かせる、などの手口で達成され得るという。研究者らは、別のNTLMハッシュ開示の問題に対するパッチを開発していた際に、この新たなSCFファイルNTLMハッシュ開示の脆弱性を発見したとされる。なお、CVE-IDはまだ割り当てられていない。

ACROS Securityは、「こうしたタイプの脆弱性は緊急性の高いものではなく、悪用可能性は複数の要因（例：攻撃社がすでに被害者のネットワーク内にいる場合か、公開されたExchangeサーバーなど、盗んだ認証情報のリレー先として外部のターゲットが存在する場合のいずれか）に左右される」としながらも、それでもなおこの種の脆弱性が実際の攻撃で使われるのが観測されてきた点に留意すべきだと述べた。

ACROS Securityはマイクロソフトにこの問題について報告済み。マイクロソフトは、「この報告について認識しており、引き続き顧客を保護できるよう必要であれば措置を講じる」と述べている。ACROSが0Patchを通じて提供する非公式のマイクロパッチは、マイクロソフトから公式修正プログラムがリリースされるまでの間、すべてのWindowsバージョンを対象に無料で利用できるとのこと。