JVNDB-2014-008020

Windows NTLM が file:// URL へのリダイレクト時に SMB 接続を行いユーザ認証情報を送信する問題

HTTP 通信を行う Windows ソフトウェアには、HTTP リクエストを file:// プロトコル に転送された場合に、SMB を使って攻撃者が用意した SMB サーバに認証情報を送信する問題が存在します。
攻撃者の SMB サーバには、ユーザの認証情報が暗号化された形で記録されます。本脆弱性は別名 "Redirect to SMB" (SMB へのリダイレクト) として知られています。

データ送信による情報漏えい (CWE-201)
ソフトウェアの多くは、ソフトウェアアップデートの確認等さまざまな機能に HTTP リクエストを使用しています。攻撃者は、中間者攻撃を行うことで HTTP リクエストを傍受し、HTTP リダイレクトを使って攻撃者が用意した SMB サーバへリダイレクトします。リダイレクト先が file:// ではじまる URL であり、かつ被害者の PC が Windows である場合、Windows は自動的に攻撃者の SMB サーバに接続しようとしてユーザの認証情報を送信します。送信された認証情報は、SMB サーバのログに記録されます。認証情報は暗号化されているものの、総当たり攻撃 (brute force attack) によって解読される可能性があります。

CWE-201: Information Exposure Through Sent Data
http://cwe.mitre.org/data/definitions/201.html

HTTP リダイレクトによる攻撃手法は新規に発見されたものですが、SMB を使った同種の問題は以前から知られており、たとえば 1997年には Aaron Spangler のレポート が、2009年には Microsoft Security Advisory 974926 が公開されています。その他の参考情報は、本アドバイザリ末尾の【参考情報】を参照してください。

Aaron Spangler のレポート
http://insecure.org/sploits/winnt.automatic.authentication.html

Microsoft Security Advisory 974926
https://technet.microsoft.com/en-us/library/security/974926.aspx

urlmon.dll の以下の Windows API 関数が影響を受けます。

　　*　URLDownloadA
　　*　URLDownloadW
　　*　URLDownloadToCacheFileA
　　*　URLDownloadToCacheFileW
　　*　URLDownloadToFileA
　　*　URLDownloadToFileW
　　*　URLOpenStream
　　*　URLOpenBlockingStream

urlmon は wininet ライブラリを使って処理を行うため、脆弱性の原因となる機能は wininet に含まれている可能性がありますが、現時点では脆弱性がどこに存在するかは判明していません。InternetExplorer や .NET Framework の WebBrowser コンポーネントも本脆弱性の影響を受けることが報告されています。さらに詳しい情報は Cylance のブログ に掲載されています。

（複数のベンダ）

• （複数の製品）

日本電気

• CapsSuite V4〜V5.1

本脆弱性の影響を受ける日本電気製品の詳細については、ベンダ情報 NV15-014 をご確認ください。

暗号化されたユーザの認証情報を攻撃者に取得される可能性があります。

2015年4月13日現在、対策方法は不明です。

[ワークアラウンドを実施する]
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。

　* 外部ネットワーク向けの SMB 通信 (139/tcp, 445/tcp) を遮断する
　* Using security policies to restrict NTLM traffic や Restricting NTLM usage 等を参考に NTLM の設定を変更する

　Using security policies to restrict NTLM traffic
　https://technet.microsoft.com/en-us/library/jj865668%28v=ws.10%29.aspx

　Restricting NTLM usage
　https://technet.microsoft.com/en-us/library/jj865676%28v=ws.10%29.aspx

　* ソフトウェアのデフォルトの認証機能として NTLM を使用しない
　* 強固なパスワードを設定し、定期的に変更する

マイクロソフト

• Microsoft Developer Network : URLDownloadToCacheFile function
• Microsoft Developer Network : URLDownloadToFile function
• Microsoft Developer Network : Urlmon library
• Microsoft Security Advisory : Credential Relaying Attacks on Integrated Windows Authentication (974926)
• Microsoft Security Advisory : Extended Protection for Authentication (973811)
• TechNet Blogs : NTLM Blocking and You: Application Analysis and Auditing Methodologies in Windows 7
• TechNet Library : Using security policies to restrict NTLM traffic
• TechNet Library : Restricting NTLM usage
• TechNet Library : Network Security: Restrict NTLM: Outgoing NTLM traffic to remote servers
• Windows Dev Center : WinINet Reference

日本電気

• NEC製品セキュリティ情報 : NV15-014

1. その他(CWE-Other) [IPA評価]

1. JVN : JVNVU#99430390
2. US-CERT Vulnerability Note : VU#672268
3. 関連文書 : SPEAR - Redirect to SMB
4. 関連文書 : WinNT/Win95 Automatic Authentication Vulnerability (IE Bug #4) - 14 March 1997

• [2015年04月15日]
    掲載
  [2015年10月28日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：日本電気 (NV15-014) を追加