AppleやSymantecのアップデートにも影響、Windowsに脆弱性

IPAとJPCERTコーディネーションセンターは4月14日、WindowsのNTLM認証でHTTPリクエストをfile:// のプロトコルへ転送した場合に、SMBを使って攻撃者が用意したSMBサーバーに認証情報を送信する問題があるとして注意喚起を行った。

ソフトウェアの多くは、HTTPリクエストをアップデート確認などに利用しているが、攻撃者は中間者攻撃(Man in the Browser)によりHTTPリクエストを傍受して、HTTPリダイレクトを活用して攻撃者が用意したSMBサーバーへリダイレクトする。リダイレクト先がfile:// ではじまるURL、かつ被害者のPCがWindowsである場合には、自動的に攻撃者のSMBサーバーに接続して認証情報を送信する。

攻撃者のSMBサーバーにはユーザーの認証情報が暗号化された形で記録される。暗号化された状態ではあるものの、ブルートフォース攻撃によって解読される可能性があるため注意が必要だ。

現時点で脆弱性がどこに存在するのか判明していない。影響を受けるシステムは、urlmon.dllのWindows API関数。

URLDownloadA
URLDownloadW
URLDownloadToCacheFileA
URLDownloadToCacheFileW
URLDownloadToFileA
URLDownloadToFileW
URLOpenStream
URLOpenBlockingStream

urlmonはwininetライブラリを利用して処理を行うため、脆弱性の原因となる機能はwininetに含まれる可能性も否定できないという。