Windows 7から最新のWindows 11、Server 2025に至るまで、全バージョンが影響を受ける新たなゼロデイ脆弱性が発見された。この脆弱性は、エクスプローラー上で悪意のあるファイルを表示するだけでNTLMハッシュが盗まれる可能性があるもので、すでに実際の攻撃でも悪用が確認されている。

この問題はCVE-ID未割り当ての状態ながら、ACROS SecurityがSCFファイル経由でのハッシュ漏洩として特定し、独自の0patchサービスを通じて非公式ながら無償のマイクロパッチを即時提供。再起動不要で適用可能なことから、緊急対応策として注目を集めている。

SCFファイルが引き金となるNTLMハッシュ漏洩の仕組み

ACROS Securityが明らかにした今回のゼロデイは、Windows Explorerで悪意あるSCFファイルを表示するだけでNTLMハッシュが漏洩するという深刻な内容である。SCFファイルとは、古くから存在するWindowsショートカット形式の一種であり、特定のコマンドを実行させるよう設計されている。これを悪用することで、ユーザーが意図せずNTLM認証を外部に送信するよう誘導される。

NTLMはMicrosoftが長らく使用してきた認証プロトコルだが、ハッシュ値さえあれば実際のパスワードが分からなくても認証を突破されるおそれがある。とりわけ、NTLMリレー攻撃やパス・ザ・ハッシュ攻撃では、このハッシュ情報が踏み台として利用され、企業ネットワークの横断的侵害にもつながる危険がある。

実際、USB内のファイルやダウンロードフォルダなど、ユーザーが日常的にアクセスする領域に仕込むことで、特別な操作なしに攻撃が成立する点がこの脆弱性の不気味さを物語っている。過去の類似手法と比べても、警戒すべき対象範囲が広く、防御が難しいといえる。

Microsoft未対応の今、0patchが唯一の実効的対策

2025年3月25日時点でこの脆弱性にはCVE-IDが割り振られておらず、Microsoftも公式パッチを公開していない状況である。そのため、現時点で唯一実効的な対策となるのがACROS Securityが提供する非公式パッチ「0patch」である。このサービスは、システム再起動を必要とせず即時にマイクロパッチを適用できる点が大きな特長だ。

対象となるのはWindows 7から最新のWindows 11、さらにはServer 2008 R2からServer 2025までと極めて広範囲であり、旧OSを使い続ける環境にも対応しているのが現実的でありがたい。エージェントのインストールとアカウント登録のみで運用可能であるため、設定の煩雑さも少ない。

ただし非公式である以上、すべてのユーザーが安心して導入できるわけではなく、導入判断には慎重さが求められる。それでも、Microsoftの対応が遅れる間に被害が拡大する可能性を考慮すれば、状況次第ではこの0patchが事実上のセーフティネットとなる場面も増えていくと考えられる。

Source:BleepingComputer