Windows 7から最新のWindows 11 v24H2およびServer 2025に至るすべてのバージョンに影響を及ぼすNTLM認証の新たな脆弱性が発見された。2024年12月に非公式パッチを提供した0patchは、再度マイクロパッチを公開し対応を進めている。

問題の脆弱性は、悪意のあるSCFファイルを用いてユーザーのNTLMハッシュを漏洩させるもので、共有フォルダーやUSB、あるいはダウンロードフォルダー内のファイル閲覧時にも情報窃取が可能とされる。

このゼロデイ脆弱性は、Microsoftが廃止方針を示しているNTLMの根本的な設計上の欠点を突いたものであり、公式対応が示されていない現段階では、非公式手段による防御が現実的な選択肢となっている。

SCFファイル経由で認証情報を窃取 NTLMの構造的欠陥が再び顕在化

0patchが新たに公開した非公式パッチは、WindowsのNTLM認証機構に潜む深刻な欠陥に対応するものである。今回の脆弱性は、悪意のあるSCFファイルをWindowsエクスプローラー上でユーザーに表示させることで、その背後でNTLMハッシュが漏洩するという仕組みで、ネットワーク経由の攻撃や物理的に接続されたメディアからも発動可能とされている。

2025年2月にCVE-2025-21377として公式に登録された脆弱性と類似の手法でありながら、影響範囲が拡大している点が今回の特徴である。

Windows 7およびServer 2008 R2といったレガシー環境のみならず、Windows 11 v24H2やServer 2025といった最新のOSにまで影響が及ぶ点は見過ごせない。マイクロソフトはNTLMそのものを段階的に廃止するとしているが、現行のWindowsには依然としてNTLMが有効化されており、攻撃対象になり得る。

この状況下で0patchが提供する非公式パッチは、公式対応が整うまでの暫定的なセーフガードとして現実的な価値を持つ。

NTLM廃止方針と現場の乖離 代替プロトコルへの移行に遅れ

マイクロソフトはNTLMのセキュリティ的脆弱性を理由に、Kerberosなどより安全な認証プロトコルへの移行を促している。2024年以降、同社は段階的にNTLMの使用停止を目指す方針を明言しているが、実際の運用現場では依然として多くのシステムがNTLMに依存しており、特にレガシー環境を抱える中小規模の組織では対応が遅れているのが実情である。

今回の脆弱性が全Windows世代を対象としている点も、この移行の遅れがセキュリティリスクとして顕在化した例といえる。

また、NTLMは社内ネットワークにおいてシングルサインオンや共有リソースへのアクセスに用いられるケースが多く、急速な切り替えが業務の停滞を招く可能性がある。このため、多くの現場ではパッチによる一時的な防御措置に依存せざるを得ない構図が続いている。Microsoftの方針と現場の対応力との間にあるギャップが、今後も脆弱性を突いた攻撃の温床となることは避けられない。

Source:Neowin