サイト内の現在位置を表示しています。

Windows NTLMがfile://URLへのリダイレクト時にSMB接続を行いユーザ認証情報を送信する問題

掲載番号:NV15-014
脆弱性情報識別番号:JVNVU#99430390, VU#672268

概要

HTTP通信を行うWindowsソフトウェアには、HTTPリクエストをfile://プロトコルに転送された場合に、
SMBを使って攻撃者が用意したSMBサーバに認証情報を送信する問題が存在します。
攻撃者のSMBサーバには、ユーザの認証情報が暗号化された形で記録されます。
本脆弱性は別名 "Redirect to SMB"(SMBへのリダイレクト)として知られています。

対象製品

CapsSuite

影響の有無

    影響あり

    本脆弱性を突いた攻撃を受けると、画面アクセス時にユーザの認証情報を取得される恐れがあります。

    【CapsSuite】 OWindowsソフトウェアがfile:// URLへのリダイレクト時に自動的にSMB接続を行い
    ユーザ認証情報を送信する脆弱性への影響と対策について
    http://www.support.nec.co.jp/View.aspx?id=3150109726

対象となる製品のバージョン

CapsSuite V4~V5.1

対処方法

[回避策]
次の回避策で本脆弱性の影響を軽減できます。

 

  • 外部ネットワーク向けのSMB通信(139/tcp, 445/tcp)を遮断する

 

  • 下記URLを参考にCapsSuiteが動作するWindowsのNTLM設定を変更する

  • CapsSuiteのデフォルトの認証機能としてNTLMを使用しないように変更する

 

  • 利用者に強固なパスワードを設定し、定期的に変更する

 

InfoCage セキュリティリスク管理

影響の有無

    影響あり

    (1) マネージャコンポーネント
    マネージャコンポーネントでは、本脆弱性を突いた攻撃を受けると、画面アクセス時にユーザ
    の認証情報を取得される恐れがあります。

    (2) エージェントコンポーネント
    エージェントコンポーネントでは、本脆弱性を突いた攻撃を受けると、通常動作においてユーザ
    の認証情報を取得される恐れがあります。

    【InfoCage セキュリティリスク管理】 Windowsソフトウェアがfile:// URLへのリダイレクト時に
    自動的にSMB接続を行いユーザ認証情報を送信する脆弱性への影響と対策について
    http://www.support.nec.co.jp/View.aspx?id=3150109725

対象となる製品のバージョン

InfoCage セキュリティリスク管理 V1.0.2~V2.1.4

対処方法

 

  • 利用者に強固なパスワードを設定し、定期的に変更する

参考情報

Japan Vulnerability Notes JVNVU#99430390:
Windows NTLM が file:// URL へのリダイレクト時に SMB 接続を行いユーザ認証情報を送信する問題
http://jvn.jp/vu/JVNVU99430390/index.html

CERT/CC Vulnerability Note VU#672268:
Microsoft Windows NTLM automatically authenticates via SMB when following a file:// URL
http://www.kb.cert.org/vuls/id/672268

更新情報