細工された画像ファイルでリモートコード実行の脆弱性。Windows 10に緊急パッチ

細工された画像ファイルでリモートコード実行の脆弱性。Windows 10に緊急パッチ
劉 尭2020年7月1日 16:17
https://pc.watch.impress.co.jp/docs/news/1262691.html

Windows 10、カスタムテーマ導入でアカウント盗難の恐れ
〜壁紙設定にユーザー名/パスワードが必要と騙る
鈴木 悠斗2020年9月8日 13:02

https://pc.watch.impress.co.jp/docs/news/1275611.html

『海外のセキュリティ情報サイトBleeping Computerは、Windows 10に搭載されているカスタムテーマの機能を悪用し、Windowsアカウントのパスワードを盗む「Pass-the-Hash」攻撃を実行できる脆弱性を指摘している。

 先週末、セキュリティ研究者のJimmy Bayne氏(同氏のTwitter)が明らかにしたもので、おもに他ユーザーがWebなどで公開しているテーマパック(拡張子が.deskthemepack)に注意すべきとしている。

壁紙にリモート認証が必要なリソースを利用した悪意あるテーマファイル

壁紙リソースへのログインを試行する
 大まかな攻撃手順としては、テーマパックに「Pass-the-Hash」攻撃が仕組まれていた場合、デスクトップの壁紙設定を変更し、壁紙にリモート認証が必要なリソースのものを設定する。そのアクセスにWindowsユーザー名/パスワードを必要と騙り、ユーザーが入力したログイン名とパスワードのNTLMハッシュを送信/利用し、リモートシステムへのログインを自動的に試みる。その後、攻撃者はスクリプトを利用してパスワードをハッシュ解除することで、パスワードを可視化することができる流れ。

 また、Windows 10以降、パソコン内のローカルアカウントからMicrosoftアカウントへと統合を推進する動きがあるため、もしユーザーが他のMicrosoftが提供するサービスを利用していた場合、それらのサービスへのログインも容易にできてしまうことになる。

 Bayne氏は今年初めにもMicrosoft側にこの脆弱性について情報提供したというが、「設計上の機能」のため修正はされないだろうと述べている。

 これらの攻撃からユーザーが自衛する手段としては、テーマ関連の拡張子(.theme/.themepack/.desktopthemepackfile)をブロックするか、別のプログラムに関連付けることで対策できる。なお、テーマ機能自体が無効となるので、別のテーマに切り替える必要がない場合のみ推奨する。

 また、併せてNTLM情報がリモートホストに送信されないように設定することも有効だが、リモート共有を使用している環境では問題が生ずる場合もある。』