Microsoft Security TechCenter

fossBytesに10月30日(米国時間)に掲載された記事「Your Windows Login Details Can Be Stolen By Hackers Without User Interaction」が、先日公開されたセキュリティパッチ(ADV170014|Optional Windows NTLM SSO authentication changes)において、WindowsのパスワードのNTLMハッシュをリモートから窃取できる脆弱性が修正されたと伝えた

MicrosoftのNTLMアーキテクチャに問題があることはすでに知られているが、これを突いて攻撃するには、ユーザーによる介入が必要か、または通信に介入する必要があるとされている。しかし、今回発見された攻撃方法はユーザーによる介入も通信への介入も不要で、攻撃者はリモートからの操作でNTLMハッシュを取得することができたとされている。

攻撃にはパスワードによる保護を設定していない共有フォルダが使われるとされており、共有フォルダにパスワード設定を行うことでも回避できるとしている。不特定多数へのアクセスを許可することになる設定はセキュリティ上好ましいとは言えず、パスワードを設定しない状態で共有フォルダを使用している場合はパスワードを設定してアクセス元を限定することが望まれる。