Japan
サイト内の現在位置を表示しています。
Windows NTLMがfile://URLへのリダイレクト時にSMB接続を行いユーザ認証情報を送信する問題
掲載番号:NV15-014
脆弱性情報識別番号:JVNVU#99430390, VU#672268
概要
HTTP通信を行うWindowsソフトウェアには、HTTPリクエストをfile://プロトコルに転送された場合に、
SMBを使って攻撃者が用意したSMBサーバに認証情報を送信する問題が存在します。
攻撃者のSMBサーバには、ユーザの認証情報が暗号化された形で記録されます。
本脆弱性は別名 "Redirect to SMB"(SMBへのリダイレクト)として知られています。
対象製品
CapsSuite
影響の有無
本脆弱性を突いた攻撃を受けると、画面アクセス時にユーザの認証情報を取得される恐れがあります。
【CapsSuite】 OWindowsソフトウェアがfile:// URLへのリダイレクト時に自動的にSMB接続を行い
ユーザ認証情報を送信する脆弱性への影響と対策について
http://www.support.nec.co.jp/View.aspx?id=3150109726
対象となる製品のバージョン
対処方法
- 外部ネットワーク向けのSMB通信(139/tcp, 445/tcp)を遮断する
- 下記URLを参考にCapsSuiteが動作するWindowsのNTLM設定を変更する
Using security policies to restrict NTLM traffic
https://technet.microsoft.com/en-us/library/jj865668(v=ws.10).aspx
Restricting NTLM usage
https://technet.microsoft.com/en-us/library/jj865676(v=ws.10).aspx
- CapsSuiteのデフォルトの認証機能としてNTLMを使用しないように変更する
- 利用者に強固なパスワードを設定し、定期的に変更する
InfoCage セキュリティリスク管理
影響の有無
マネージャコンポーネントでは、本脆弱性を突いた攻撃を受けると、画面アクセス時にユーザ
の認証情報を取得される恐れがあります。
(2) エージェントコンポーネント
エージェントコンポーネントでは、本脆弱性を突いた攻撃を受けると、通常動作においてユーザ
の認証情報を取得される恐れがあります。
【InfoCage セキュリティリスク管理】 Windowsソフトウェアがfile:// URLへのリダイレクト時に
自動的にSMB接続を行いユーザ認証情報を送信する脆弱性への影響と対策について
http://www.support.nec.co.jp/View.aspx?id=3150109725
対象となる製品のバージョン
対処方法
- 外部ネットワーク向けのSMB通信(139/tcp, 445/tcp)を遮断する
- 下記URLを参考にInfoCage セキュリティリスク管理が動作するWindowsのNTLM設定を変更する
- InfoCage セキュリティリスク管理のデフォルトの認証機能としてNTLMを使用しないように変更する
次の回避策で本脆弱性の影響を軽減できます。
Using security policies to restrict NTLM traffic
https://technet.microsoft.com/en-us/library/jj865668(v=ws.10).aspx
Restricting NTLM usage
https://technet.microsoft.com/en-us/library/jj865676(v=ws.10).aspx
- 利用者に強固なパスワードを設定し、定期的に変更する
参考情報
Japan Vulnerability Notes JVNVU#99430390:
Windows NTLM が file:// URL へのリダイレクト時に SMB 接続を行いユーザ認証情報を送信する問題
http://jvn.jp/vu/JVNVU99430390/index.html
CERT/CC Vulnerability Note VU#672268:
Microsoft Windows NTLM automatically authenticates via SMB when following a file:// URL
http://www.kb.cert.org/vuls/id/672268
更新情報
- 2015/10/21