最近発見された Windows のゼロデイ脆弱性は、攻撃者はユーザーを騙して Windows エクスプローラーで悪意のあるファイルを表示させるだけで、NTLM 認証情報を盗むことを可能にします。0patch チームによって特定されたこの欠陥は、Windows 7 および Server 2008 R2 から Windows 11 24H2 および Server 2022 までのすべての Windows バージョンに影響します。これによって、組織は ID ベースの攻撃に対して脆弱になります。この手法は何年も前から侵入テスト担当者やセキュリティ専門家の間では知られていましたが、0patch チームによって最近公開されたことで、組織が NTLM などのレガシー プロトコルによってもたらされるリスクに対処する緊急性が浮き彫りになりました。
脆弱性を理解する:このゼロデイは、Windows が NTLM 認証を処理する方法を悪用します。ユーザーによる操作は最小限です。ファイル エクスプローラーで悪意のあるファイルを表示するだけで、エクスプロイトをトリガーできます。これは、共有フォルダーへのアクセス、USB ドライブの挿入、ダウンロード フォルダーのオープンなど、さまざまなシナリオで発生する可能性があります。悪意のあるファイルが表示されると、エクスプロイトによってユーザーのシステムはリモートの場所への NTLM 認証要求を開始します。これにより、ログインしているユーザーの NTLM ハッシュが送信され、攻撃者はこれを解読してユーザーのプレーンテキスト パスワードを明らかにすることができます。盗まれたこれらの資格情報は、権限の昇格、横方向の移動、または機密リソースへのアクセスに使用できます。
NTLM の弱点は数十年にわたって認識されてきましたが、重要なプロセスと深く統合されているため、多くの組織が依然として NTLM に依存しており、即時の置き換えは困難です。より安全な認証プロトコルに移行するための積極的な緩和戦略と長期計画の必要性があります。
公式の修正がない
この脆弱性がもたらすリスクは大きいにもかかわらず、Microsoft から公式の Common Vulnerabilities and Exposures (CVE) 指定や修正プログラムはまだ提供されていません。これは、今年初めに報告された"Mark of the Web" バイパスとWindows テーマの脆弱性に続き、0patch チームによって公開された Microsoft がまだ対処していない 3 番目のゼロデイ脆弱性となります。PetitPotamや PrinterBug などのその他の NTLM 関連の問題も、現在の Windows リリースでは未解決のままです。
なぜこの脆弱性を継続して気にするべきなのか
NTLM の弱点は十分に文書化されており、その使用は数十年にわたって批判されてきましたが、多くの組織は依然として NTLM に依存しています。これは、プロトコルが重要なプロセスと深く統合されているため、置き換えが複雑で時間がかかることが原因であることが多いです。しかし、攻撃者が従来の脆弱性を悪用するケースが増えるにつれて、何もしないことのコストは増大します。この脆弱性は、既知の欠陥であっても対処しなければ危険なままになる可能性があることを改めて認識させます。組織は、従来のシステムを置き換えるという課題と、環境を安全に保護するという緊急の必要性のバランスを取る必要があります。NTLM をすぐに置き換えることは現実的ではないかもしれませんが、高度な検知とレスポンスソリューションを採用することで、資格情報の盗難やラテラルムーブに対する重要な保護を提供できます。
Vectra AIがどのように役立つか
Vectra AIは、Attack Signal Intelligence™を活用し、検知 、IDベースの攻撃を阻止することで、IDベースの脅威に対する強固な保護を提供します。Vectra AIのID脅威検知とレスポンス (ITDR)ソリューションは、NTLM認証情報を標的とする攻撃を含む、IDベースの攻撃を特定し、阻止するように設計されています。
- クレデンシャルの不正使用の検知: Vectra AI は、攻撃者が盗んだクレデンシャルをどのように使用して目的を達成するかを理解することに重点を置いています。このアプローチにより、NTLM ハッシュを取得した後によく使用される Pass the Hash や Pass the Ticket など、様々なクレデンシャル不正使用テクニックを検知することができます。
- ID ベースの攻撃の監視:当社のプラットフォームは、Kerberoasting 、DCSync、不正なLDAPクエリなどのテクニックを使用して、認証情報やIDストアを標的とする攻撃者を包括的にカバーします。不審なID関連アクティビティを継続的に監視することで、Vectra AIは潜在的な悪用の試みをセキュリティチームに警告することができます。
- Attack Signal Intelligence:Vectra AIはAttack Signal Intelligence™を活用して、攻撃者の実際の振る舞いを示すシグナルに着目し、良性の活動と本物の脅威を区別します。攻撃者がシステムとどのようにやり取りしているかを分析することで、Vectra AIは、NTLMエクスプロイトのような脆弱性に起因する不正アクセスの試みと横方向の動きを特定し、セキュリティチームが最も重要なことに集中できるよう支援します。
- アラートが引き起こす疲労の軽減:Vectra AIは、アイデンティティカバレッジをより広範なネットワークおよびクラウドアクティビティと相関させることで、誤検知を最小限に抑え、実際の攻撃者の行動を明確にし、セキュリティアナリストのアラート疲れを軽減します。
今日から組織を守る
まだ NTLM などの従来のプロトコルに依存していませんか? 今こそ組織を保護するときです。Vectra AI の Attack Signal Intelligence™ が、NTLM 認証情報の盗難などの脅威を、被害が発生する前に検知して阻止するのにどのように役立つかをご覧ください。
今すぐデモをリクエストして、Vectra AIが進化するサイバー脅威に対する防御をどのように強化するかをご体験ください。