暗号プロトコルであるNTLM v2は、Microsoft Windowsでユーザーの認証を行うために使用される最新バージョンのNTLMプロトコルです。盗まれたNTLM v2ハッシュは、認証代用攻撃やオフラインのブルートフォース攻撃に使用され、パスワードハッシュの解読が行われます。いずれの場合でも、悪意のある存在はユーザーとして認証を行い、機密性の高い企業リソースやシステムにアクセスすることが可能です。
ドレブ・タレルは説明します。「認証代用攻撃では、ユーザーからのNTLM v2認証リクエストは傍受され、別のサーバーに転送されます。その後、被害者のコンピューターは認証応答を攻撃者のサーバーに送信し、攻撃者はこの情報を使用して意図した被害者のサーバーで自ら認証を行うことができます。」
NTLM v2ハッシュを取得するための3つの方法
Varonisの研究者たちは、NTLM v2ハッシュを以下のような方法で窃取できることを発見しました:
1. Microsoft Outlookの脆弱性の悪用
2. URIの処理(プロトコルマネージャー)およびWPA(ソフトウェア開発者が使用するツールであるWindows Performance Analyzer)
3. Windowsファイルエクスプローラープログラムの利用
彼らはこれらの3つの攻撃シナリオのケースを調査し、それぞれの場合に被害者がリンクやボタンを1回または2回クリックするだけであることを確認しました。
Outlookの脆弱性の悪用は特に容易であり、ユーザー間でのカレンダー共有機能を使用しています。「攻撃者は被害者にメール招待を作成し、.ICSファイルのパスを攻撃者がコントロールするコンピューターに向けます。攻撃者は自身が制御するパス(ドメイン、IP、フォルダーパス、UNCなど)で受信を待ち、そのリソースへの接続を試みるパケットを取得することができます。」とタレルは説明します。「もし被害者がメッセージの「このiCalを開く」ボタンをクリックすると、彼らのコンピューターは攻撃者のコンピューターから設定ファイルをダウンロードしようとしますが、その際に被害者のNTLMハッシュが認証中に公開されることになります。」
NTLM v2ハッシュを攻撃者から保護する方法
上述のように、Outlookの脆弱性はMicrosoftによって2023年12月にパッチが適用されましたが、他の2つの脆弱性はまだ存在しています。「パッチが適用されていないシステムは、上記の手法を使用して暗号化されたパスワードを盗もうとする悪意のある者に対して脆弱です。」とタレルは述べています。Microsoftは最近、NTLMプロトコルの使用を制限し、Windows 11では完全に無効化する計画を発表しました。
その間、組織はNTLM v2ハッシュに基づく攻撃に対抗するためにいくつかの対策を実施することができます。SMB署名の有効化(すでに有効化されていない場合)、アウトバウンドのNTLM v2認証のブロックとKerberos認証の強制、ネットワークおよびアプリケーションレベルでのNTLM v2認証のブロックなどです。
FAQ(よくある質問)
Q: NTLM v2ハッシュを窃取する攻撃者の手法とは何ですか?
A: 攻撃者は、Outlookの脆弱性の悪用やURIの処理、Windowsファイルエクスプローラープログラムの利用など、さまざまな手法を使用してNTLM v2ハッシュを窃取することができます。
Q: NTLM v2ハッシュを窃取されるとどのようなリスクがありますか?
A: NTLM v2ハッシュが窃取されると、認証代用攻撃やオフラインのブルートフォース攻撃などが行われ、悪意のある者がユーザーとして認証を行い、企業の機密リソースやシステムにアクセスするリスクがあります。
Q: NTLM v2ハッシュを攻撃から保護するための対策はありますか?
A: SMB署名の有効化、アウトバウンドのNTLM v2認証のブロックとKerberos認証の強制、ネットワークおよびアプリケーションレベルでのNTLM v2認証のブロックなどが、NTLM v2ハッシュを保護するために有効な対策です。
(参考文献:Varonis Threat Labs)
The source of the article is from the blog jomfruland.net