WindowsのデスクトップテーマファイルでWindowsの認証情報を盗み取れる可能性 16
仕様なのでしようがないです 部門より
特別に細工したWindowsのデスクトップテーマファイルを利用して、Windowsアカウントの認証情報を盗みとれる可能性が指摘されている(BleepingComputerの記事、 Neowinの記事、 発見者のツイート)。
細工の内容としては、デスクトップテーマで使用する背景画像などにログインの必要なリモートサーバー上のパスを指定するというものだ。攻撃者は自分の支配下にあるサーバーを指定することで、Windowsのログインユーザー名とパスワードハッシュ(NTLMハッシュ)を取得できる。BleepingComputerが2016年に実施したテストによると、弱いパスワードを使用している場合はNTLMハッシュから秒単位でパスワードを復号できたという。WindowsへのログインにMicrosoftアカウントを使用している場合は特に問題が大きい。
発見者はMicrosoftに報告しているが、仕様なので修正しないとの回答があったそうだ。そのため、発見者は拡張子「.theme」「.themepack」「.desktopthemepackfile (.deskthemepackの間違い)」の関連付け解除を推奨している。ただし、関連付けを解除すると新たなデスクトップテーマを追加できなくなる。一方、BleepingComputerではグループポリシーでリモートサーバーにNTLMトラフィックを送信しない設定(コンピューターの構成→Windowsの設定→セキュリティの設定→ローカルポリシー→セキュリティオプション→ネットワークセキュリティ: NTLMを制限する: リモートサーバーに対する送信NTLMトラフィック)にする方法を紹介している。こちらも万能ではなく、エンタープライズ環境で共有ファイルを使用する場合に問題が発生する可能性があるとのことだ。
レインボーテーブル攻撃を受けやすい (スコア:1)
Windows は…
共有フォルダ (例: \\server\share\kabegami.jpg) へのアクセス時に、認証が必要な場合は、ログインしているアカウントのアカウント名と、パスワードのハッシュ値を送信して認証するのが仕様のようなので、その結果、パスワードの逆算を可能にする、危険だ、ということなのでしょう。
昔、Windows 2000 の TELNET client でも同様の問題がありまして、その時の Microsoft の対処としては TELNET client の NTLM 認証を OFF にする更新プログラムを発給した、という事があったと思います。
Re: (スコア:0)
そもそも、サーバー共有にMSアカウントが使えるか?って話が先にある
ADorローカルアカウントじゃなきゃ無理じゃね
Re: (スコア:0)
せめて英単語の間にはスペース入れろよ
ADor って何だろうとか思ってしまったじゃないか
使っててよかった安全なPINコード (スコア:0, 参考になる)
MS「だから4桁のPINの方が安全 [microsoft.com]って言っただろ?」
PIN使っても解決にはなりません (スコア:1)
実際にPIN登録すれば分かりますが、サインイン画面にサインイン方法を選択するアイコンが追加され、PINでもパスワードでもサインインの両方ができるようになります。
当然ながら、NTLMハッシュもそのまま残る(そうじゃなきゃパスワードでもログインできる仕様にできない)ので、何の解決にもなりません。
そもそも、Windows 10 のPINってショルダーハックでパスワード入力を背後から盗み取られないぐらいしかメリットないんです。
Microsoftにとって、パスワード忘れのサポートコストを削減できるので、推進しているだけなのでは。
メリット
・ショルダーハックで後ろからパスワード入力を盗み取られてMicrosoftアカウントを悪用されるのを防げる
・ショルダーハックでパスワードを盗まれないので、他のサイトでパスワードを使いまわしていた場合、他のサイトも悪用されなくなる
デメリット
・PINでもパスワードでもログインできるようになるので単純にセキュリティリスクが高まる
・PINの方がパスワードよりショルダーハックされやすいのでパソコン本体が盗まれたらサインインされて悪用されやすい
その場合、Microsoftアカウントにはログインされたままの状態となるのでMicrosoftアカウントに保存したメールやファイルも盗まれる
・もしPINを使いまわしていた場合、銀行口座やクレジットカードまで悪用される
Re: (スコア:0)
仮にショルダーハックでPIN盗まれても、他のPCからじゃPIN入れても使えないってのは大きなメリットだと思えますけどどうなんですかね
Re: (スコア:0)
他のPCで使えないってのもメリットですし、PCのPIN知られてもMicrosoftアカウントまで奪われるリスクがなくなるってのもメリットですね。
Firewall (スコア:0)
どのプロセスが通信主体なのか良く分からないけど、Firewallをホワイトリスト管理してても通過してしまうってことなのかな?
それともテキトーなFirewall設定が前提なんだろうか?
Re:Firewall (スコア:1)
httpなのでSMBやTelnet [microsoft.com]と違ってフィルタは面倒だと思う。
BASIC認証代わりにNTLMで認証する機能で漏れるって話なので。
認証が必要なら蹴るとか有ったらセーフ?
ストーリーの回避策以外に、IEのセキュリティゾーン設定変更回りで回避できそうな気もするけど、面倒なので調べてない。
企業で社内イントラのSSOに支障が出ると面倒な事になりそうだなぁ。
Re: (スコア:0)
ホワイトリストと名付けたために暴力的な集団によって物理的に破壊されたとか
Re: (スコア:0)
読んでみると、SMBのことかと思ったら壁紙がhttps://....で指定されている場合でも、自動的にNTLMハッシュを送信するって書いてありますね。httpsの制限はかかってないところが多いんじゃないでしょうか。
ブラウザでhttpsを閲覧するときにNTMLハッシュを自動送信していたら問題になると思うんですが、壁紙なら自動送信してもいいっていう仕様はいいのかな…?
仕様通り (スコア:0)
はじめは仕様通りと言い張っていてもマルウェアとかに大々的に利用されればなんらかの対応はされるのだろうけどね。
Re: (スコア:0)
懐かしのconcon問題のようなのが再来すれば威力を持ちそうな気がしてきた
昔もにたようなのがあったような (スコア:0)
webサイトに、
file:////〇〇〇.com/xxxxxx.jpg
みたいな画像貼っとけば、アクセス先にLM認証にいき
情報が抜けるみたいなの
これのデスクトップテーマ版だな
Re: (スコア:0)
その昔、アメリカ司法省との独占禁止法裁判で「Internet ExplorerはOSの一部だから削除できない」と言い張り、
実際にデスクトップへの統合を進めてOSの一部とした、という歴史からすると、
長い時間をかけてブーメランが戻ってきた、ってことかな。
Re: (スコア:0)
httpでもNTLMのハッシュを送信しちゃうって、これが問題になったときより後退していない?外部のSMBファイル共有が許されているところはまずないけど、http/httpsはほとんど制限がかからないでしょう?