パスワードを忘れた? アカウント作成
14297594 story
Windows

WindowsのデスクトップテーマファイルでWindowsの認証情報を盗み取れる可能性 16

ストーリー by nagazou
仕様なのでしようがないです 部門より
headless 曰く、

特別に細工したWindowsのデスクトップテーマファイルを利用して、Windowsアカウントの認証情報を盗みとれる可能性が指摘されている(BleepingComputerの記事Neowinの記事発見者のツイート)。

細工の内容としては、デスクトップテーマで使用する背景画像などにログインの必要なリモートサーバー上のパスを指定するというものだ。攻撃者は自分の支配下にあるサーバーを指定することで、Windowsのログインユーザー名とパスワードハッシュ(NTLMハッシュ)を取得できる。BleepingComputerが2016年に実施したテストによると、弱いパスワードを使用している場合はNTLMハッシュから秒単位でパスワードを復号できたという。WindowsへのログインにMicrosoftアカウントを使用している場合は特に問題が大きい。

発見者はMicrosoftに報告しているが、仕様なので修正しないとの回答があったそうだ。そのため、発見者は拡張子「.theme」「.themepack」「.desktopthemepackfile (.deskthemepackの間違い)」の関連付け解除を推奨している。ただし、関連付けを解除すると新たなデスクトップテーマを追加できなくなる。一方、BleepingComputerではグループポリシーでリモートサーバーにNTLMトラフィックを送信しない設定(コンピューターの構成→Windowsの設定→セキュリティの設定→ローカルポリシー→セキュリティオプション→ネットワークセキュリティ: NTLMを制限する: リモートサーバーに対する送信NTLMトラフィック)にする方法を紹介している。こちらも万能ではなく、エンタープライズ環境で共有ファイルを使用する場合に問題が発生する可能性があるとのことだ。

  • by Anonymous Coward on 2020年09月09日 22時53分 (#3885931)

    Windows は…
    共有フォルダ (例: \\server\share\kabegami.jpg) へのアクセス時に、認証が必要な場合は、ログインしているアカウントのアカウント名と、パスワードのハッシュ値を送信して認証するのが仕様のようなので、その結果、パスワードの逆算を可能にする、危険だ、ということなのでしょう。

    昔、Windows 2000 の TELNET client でも同様の問題がありまして、その時の Microsoft の対処としては TELNET client の NTLM 認証を OFF にする更新プログラムを発給した、という事があったと思います。

    ここに返信
    • by Anonymous Coward

      そもそも、サーバー共有にMSアカウントが使えるか?って話が先にある
      ADorローカルアカウントじゃなきゃ無理じゃね

      • by Anonymous Coward

        せめて英単語の間にはスペース入れろよ
        ADor って何だろうとか思ってしまったじゃないか

  • by Anonymous Coward on 2020年09月09日 17時01分 (#3885691)

    MS「だから4桁のPINの方が安全 [microsoft.com]って言っただろ?」

    ここに返信
    • by Anonymous Coward on 2020年09月10日 1時49分 (#3885996)

      実際にPIN登録すれば分かりますが、サインイン画面にサインイン方法を選択するアイコンが追加され、PINでもパスワードでもサインインの両方ができるようになります。
      当然ながら、NTLMハッシュもそのまま残る(そうじゃなきゃパスワードでもログインできる仕様にできない)ので、何の解決にもなりません。

      そもそも、Windows 10 のPINってショルダーハックでパスワード入力を背後から盗み取られないぐらいしかメリットないんです。

      Microsoftにとって、パスワード忘れのサポートコストを削減できるので、推進しているだけなのでは。

      メリット
      ・ショルダーハックで後ろからパスワード入力を盗み取られてMicrosoftアカウントを悪用されるのを防げる
      ・ショルダーハックでパスワードを盗まれないので、他のサイトでパスワードを使いまわしていた場合、他のサイトも悪用されなくなる

      デメリット
      ・PINでもパスワードでもログインできるようになるので単純にセキュリティリスクが高まる
      ・PINの方がパスワードよりショルダーハックされやすいのでパソコン本体が盗まれたらサインインされて悪用されやすい
       その場合、Microsoftアカウントにはログインされたままの状態となるのでMicrosoftアカウントに保存したメールやファイルも盗まれる
      ・もしPINを使いまわしていた場合、銀行口座やクレジットカードまで悪用される

      • by Anonymous Coward

        仮にショルダーハックでPIN盗まれても、他のPCからじゃPIN入れても使えないってのは大きなメリットだと思えますけどどうなんですかね

        • by Anonymous Coward

          他のPCで使えないってのもメリットですし、PCのPIN知られてもMicrosoftアカウントまで奪われるリスクがなくなるってのもメリットですね。

  • by Anonymous Coward on 2020年09月09日 18時45分 (#3885776)

    どのプロセスが通信主体なのか良く分からないけど、Firewallをホワイトリスト管理してても通過してしまうってことなのかな?

    それともテキトーなFirewall設定が前提なんだろうか?

    ここに返信
    • by kei100 (5854) on 2020年09月10日 1時37分 (#3885991)

      httpなのでSMBやTelnet [microsoft.com]と違ってフィルタは面倒だと思う。
      BASIC認証代わりにNTLMで認証する機能で漏れるって話なので。
      認証が必要なら蹴るとか有ったらセーフ?

      ストーリーの回避策以外に、IEのセキュリティゾーン設定変更回りで回避できそうな気もするけど、面倒なので調べてない。
      企業で社内イントラのSSOに支障が出ると面倒な事になりそうだなぁ。

      --
      私を信じないで、貴方を裏切ってしまうから。
    • by Anonymous Coward

      ホワイトリストと名付けたために暴力的な集団によって物理的に破壊されたとか

    • by Anonymous Coward

      読んでみると、SMBのことかと思ったら壁紙がhttps://....で指定されている場合でも、自動的にNTLMハッシュを送信するって書いてありますね。httpsの制限はかかってないところが多いんじゃないでしょうか。

      ブラウザでhttpsを閲覧するときにNTMLハッシュを自動送信していたら問題になると思うんですが、壁紙なら自動送信してもいいっていう仕様はいいのかな…?

  • by Anonymous Coward on 2020年09月10日 2時18分 (#3886005)

    はじめは仕様通りと言い張っていてもマルウェアとかに大々的に利用されればなんらかの対応はされるのだろうけどね。

    ここに返信
    • by Anonymous Coward

      懐かしのconcon問題のようなのが再来すれば威力を持ちそうな気がしてきた

  • by Anonymous Coward on 2020年09月10日 3時13分 (#3886017)

    webサイトに、
    file:////〇〇〇.com/xxxxxx.jpg
    みたいな画像貼っとけば、アクセス先にLM認証にいき
    情報が抜けるみたいなの

    これのデスクトップテーマ版だな

    ここに返信
    • by Anonymous Coward

      その昔、アメリカ司法省との独占禁止法裁判で「Internet ExplorerはOSの一部だから削除できない」と言い張り、
      実際にデスクトップへの統合を進めてOSの一部とした、という歴史からすると、
      長い時間をかけてブーメランが戻ってきた、ってことかな。

    • by Anonymous Coward

      httpでもNTLMのハッシュを送信しちゃうって、これが問題になったときより後退していない?外部のSMBファイル共有が許されているところはまずないけど、http/httpsはほとんど制限がかからないでしょう?

typodupeerror

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー

読み込み中...