
NTLM関連の新たな脆弱性が見つかる 19
ストーリー by headless
発見 部門より
発見 部門より
セキュリティ企業Preemptが数か月前に発見したというNTLM関連の脆弱性2件を解説している(Preempt Blogの記事、
The Registerの記事、
BetaNewsの記事)。
CVE-2017-8563はドメイン認証でKerberosからNTLM認証へフォールバックした際に特権昇格が発生するというもの。攻撃者は特別に細工したアプリケーションを使い、悪意あるトラフィックをドメインコントローラーに送信することで、この脆弱性を悪用できる。
この問題が発生するのはLDAPがNTLM中継攻撃から保護されないことが原因だという。グループポリシーの「ドメインコントローラー: LDAPサーバー署名必須」で「署名を必要とする」に設定すると、中間者攻撃(MitM)および資格情報中継攻撃から保護されるようになる。この設定ではセッションキーで署名されたLDAPセッション(LDAP署名)か、全体がTLSで暗号化されたLDAPセッション(LDAPS)のいずれにも該当しないセッションをドメインコントローラーが拒否するが、LDAPSの場合は資格情報中継攻撃から保護されないとのこと。
Microsoftではこの問題を確認し、7月の月例更新で修正している。CVE-2017-8563にはSSL/TLSを使用したLDAP認証のセキュリティを強化するレジストリ設定が導入されているが、設定を有効にするにはMicrosoftのサポート記事4034879に従い、レジストリを直接変更する必要がある。
もう1件はリモートデスクトップの制限付き管理モード接続に関するもの。このモードでは接続先マシンに資格情報が送信されないため、接続先が攻撃者の支配下にある場合でも接続元が保護される。そのため、サポートエンジニアが管理者権限でリモートマシンを操作する際などによく使われている。
しかし、このモードではNTLM認証へのダウングレードが認められており、NTLM中継攻撃やパスワードクラックなどが可能になるという。これについてMicrosoftでは既知の問題であるとし、NTLM中継攻撃を避けるための設定を推奨したとのことだ。
CVE-2017-8563はドメイン認証でKerberosからNTLM認証へフォールバックした際に特権昇格が発生するというもの。攻撃者は特別に細工したアプリケーションを使い、悪意あるトラフィックをドメインコントローラーに送信することで、この脆弱性を悪用できる。
この問題が発生するのはLDAPがNTLM中継攻撃から保護されないことが原因だという。グループポリシーの「ドメインコントローラー: LDAPサーバー署名必須」で「署名を必要とする」に設定すると、中間者攻撃(MitM)および資格情報中継攻撃から保護されるようになる。この設定ではセッションキーで署名されたLDAPセッション(LDAP署名)か、全体がTLSで暗号化されたLDAPセッション(LDAPS)のいずれにも該当しないセッションをドメインコントローラーが拒否するが、LDAPSの場合は資格情報中継攻撃から保護されないとのこと。
Microsoftではこの問題を確認し、7月の月例更新で修正している。CVE-2017-8563にはSSL/TLSを使用したLDAP認証のセキュリティを強化するレジストリ設定が導入されているが、設定を有効にするにはMicrosoftのサポート記事4034879に従い、レジストリを直接変更する必要がある。
もう1件はリモートデスクトップの制限付き管理モード接続に関するもの。このモードでは接続先マシンに資格情報が送信されないため、接続先が攻撃者の支配下にある場合でも接続元が保護される。そのため、サポートエンジニアが管理者権限でリモートマシンを操作する際などによく使われている。
しかし、このモードではNTLM認証へのダウングレードが認められており、NTLM中継攻撃やパスワードクラックなどが可能になるという。これについてMicrosoftでは既知の問題であるとし、NTLM中継攻撃を避けるための設定を推奨したとのことだ。
Re:「とのこと」「とのこと」うるせえええええ (スコア:2)
そうですね、読むひとのことをまったく考えてない酷い文章だと思います。
きっと編集者の人は、あとのことを何も考えずに適当に作業しただけなんでしょう。
Re:「とのこと」「とのこと」うるせえええええ (スコア:1)
>何度同じフレーズをバカみたいに続けるんだ。
表現・表記の揺れに悩まされて小一時間説教する羽目になるよりマシ。
そもそもタイトル中に0回、本文に2回合計2回の出現でそこまで気になりますか?
>胸糞悪いのは「とのこと」は響きが間抜けで頭がおかくなりそうだ。
言い回しが気に入らない由、理解しました。
>「とのこと」ってなんだ?
辞書を確認すれば用が足りるのではないだろうか?表現辞典とか。
>ただのコピペだってことを暗に言いたいのかもしれないが、そんなことは分かってる
合意できません。
>断定の文型をただ続ければいいい。
反対です。
Re:「とのこと」「とのこと」うるせえええええ (スコア:1)
> slashdot何度同じフレーズをバカみたいに続けるんだ。
タレこみ文中では2回しか使ってないようです
”「とのこと」「とのこと」うるせえええええ (スコア:0)”と同じぐらいの使用頻度ですよよよよ
文中でたったの2回しか使われていないにも拘わらず発狂 (スコア:0)
ここで一番「とのこと」言ってんのはテメーだよ、と誰か彼に伝えてあげて欲しい
Re: (スコア:0)
slashdotだった頃には、文末すべてに「とのこと」「のようだ」を付けたコンプリート記事が何件かありましたね。
この記事は大分マシな部類ですよ。
Re: (スコア:0)
「匿名の臆病者(アノニマス・カワード)」氏は、「自分でタレこまないやつが悪い」と述べたという。スラドではユーザが見つけてきたタレこみをhylom氏ら編集者が精査しクリック率を稼げるよう調整した上で記事として公開しており、気に入らない文体があればhylom氏が頑張って見つけてきたりとのこと文が好きなAC達のタレこみに先駆けて事前にそれを避けてタレこんでおくことで公開を回避できるとのことだ。
Re:「とのこと」「とのこと」うるせえええええ (スコア:2)
hylom氏ら編集者が精査しクリック率を稼げるよう調整
詳細求む…までもなくみんな知っているか
Re: (スコア:0)
2回ならブチキレまでしなくてもと思うが、言いたい事はわかる。
最初か締めに1回なら無難。ヘタに増やすと、「とのこと」が付いてない文は元記事の見解なのか編集者の見解なのかが解釈し辛くなる。
「とのこと」という言い回しがカジュアルというか雑で気になるのもある。口語体で、である調との調和に欠ける。
編集者には建設的に受け止めてもらえると嬉しい。
Re: (スコア:0)
記事にできるタレこみの数が十分多くタレこみ文が十分長ければ勝手にとのことを挿入されることはそんなにない
Re:セキュリティに突っ込んだ話をしたいなら平等にやれ (スコア:2)
どんどんタレ込んでください。
Re: (スコア:0)
でもでも、HeartbleedなんかCVSS 5.0ぽっちだったんじゃなかったですかね?
#日経NETWORKの記事に書いてあった様な。。。
Re: (スコア:0)
HeartBleedのCVSはExploitability Subscoreが最大の10.0という核爆弾
Re: (スコア:0)
THE・やりたい奴がやればいい案件
# 私はほげほげOSは使ってないので興味ないです。
# 興味のある人が、興味のある人に向けてタレコんだら良いと思います。
# 結果として、タレコまれても、タレコまれなくても文句ないです。
# なんで私が大して興味のないほげほげOSのことまで、平等(笑)にタレコまなくちゃならないんですか?