Windows テーマは引き続きユーザーの認証情報を侵害します

いくつかのことが発見されました Windows テーマ ～の侵害を可能にする脆弱性が含まれている NTLM識別子 ユーザー。このセキュリティ上の欠陥は、いくつかの修正後も存続しており、テーマ ファイルをファイルエクスプローラー、認証情報がリモート ホストに不正に送信される原因となります。 Microsoft がこの問題に対処しようとしているにもかかわらず、新たな脆弱性が次々と出現しており、0patch などのサードパーティ ソリューションの開発者は、ユーザーのシステムを保護するために非公式のパッチをリリースするようになっています。

長年にわたって、カスタム テーマの使用を通じて Windows システムに繰り返し発生する脆弱性が影響を及ぼしてきました。これらのテーマは潜在的に危険を冒す可能性があります NTLM識別子 特定のネットワーク構成を悪用してユーザーを攻撃します。 Microsoft はこの問題を解決しようと努めていますが、新たな脆弱性が引き続き発生しています。この現象は、ユーザーを保護するために非公式パッチを提供する先頭に立った 0patch チームによって最近明らかになりました。

Windowsテーマで発見された脆弱性

2023 年、Akamai のセキュリティ研究者 Tomer Peled は、 Windows テーマ ネットワーク機能を悪用してユーザーの NTLM 資格情報を意図せず送信する可能性があります。特定のテーマ プロパティでネットワーク パスを指定すると、エクスプローラーでテーマ ファイルを表示するだけで、Windows はユーザーの資格情報を使用してネットワーク要求を自動的に開始します。

コードの下で特定されたこの脆弱性 CVE-2024-21320、マイクロソフトからの報告を受けて修正されました。ただし、研究者らは、悪意のあるテーマ ファイルを通じて NTLM 資格情報が引き続き公開される、関連する問題も特定しました。

0patch による修正が追加されました

ニュースに直面して ゼロデイリーク、コード内の既知の欠陥に対するマイクロパッチの開発中に検出されました。 CVE-2024-38030, 0patch は、こ​​のギャップを埋めるために一連の非公式修正を開発しました。 ACROS Security の CEO、Mitja Kolsek 氏は、更新された Windows 11 上の悪意のあるテーマ ファイルがネットワーク接続を確立し、ユーザーの資格情報を公開する仕組みをビデオで実演しました。

ACROS Security が提供する無料のマイクロパッチは、検出された新しい脆弱性に対する Microsoft の公式ソリューションの公開を待つ間の一時的な保護を提供します。

NTLM プロトコルと pass-the-hash 攻撃について

プロトコル NTLM (NT LAN Manager) は Windows システムの認証に使用され、採用される前は主流でした。 ケルベロス。 NTLM はパスワードを平文で送信するのではなく、パスワードのハッシュを使用します。 NTLMハッシュ。

このメカニズムは便利ですが、攻撃に対して脆弱です ハッシュを渡す。つまり、攻撃者は実際にパスワードを知らなくても、このハッシュを使用してシステムの認証を行うことができるため、NTLM を使用してネットワークを保護することが重要になります。

Windows テーマのリスクと解決策の比較