Windows 10、カスタムテーマ導入でアカウント盗難の恐れ

Windows 10のテーマ機能

　海外のセキュリティ情報サイトBleeping Computerは、Windows 10に搭載されているカスタムテーマの機能を悪用し、Windowsアカウントのパスワードを盗む「Pass-the-Hash」攻撃を実行できる脆弱性を指摘している。

　先週末、セキュリティ研究者のJimmy Bayne氏(同氏のTwitter)が明らかにしたもので、おもに他ユーザーがWebなどで公開しているテーマパック(拡張子が.deskthemepack)に注意すべきとしている。

壁紙にリモート認証が必要なリソースを利用した悪意あるテーマファイル

壁紙リソースへのログインを試行する

　大まかな攻撃手順としては、テーマパックに「Pass-the-Hash」攻撃が仕組まれていた場合、デスクトップの壁紙設定を変更し、壁紙にリモート認証が必要なリソースのものを設定する。そのアクセスにWindowsユーザー名/パスワードを必要と騙り、ユーザーが入力したログイン名とパスワードのNTLMハッシュを送信/利用し、リモートシステムへのログインを自動的に試みる。その後、攻撃者はスクリプトを利用してパスワードをハッシュ解除することで、パスワードを可視化することができる流れ。

　また、Windows 10以降、パソコン内のローカルアカウントからMicrosoftアカウントへと統合を推進する動きがあるため、もしユーザーが他のMicrosoftが提供するサービスを利用していた場合、それらのサービスへのログインも容易にできてしまうことになる。

　Bayne氏は今年初めにもMicrosoft側にこの脆弱性について情報提供したというが、「設計上の機能」のため修正はされないだろうと述べている。

　これらの攻撃からユーザーが自衛する手段としては、テーマ関連の拡張子(.theme/.themepack/.desktopthemepackfile)をブロックするか、別のプログラムに関連付けることで対策できる。なお、テーマ機能自体が無効となるので、別のテーマに切り替える必要がない場合のみ推奨する。

　また、併せてNTLM情報がリモートホストに送信されないように設定することも有効だが、リモート共有を使用している環境では問題が生ずる場合もある。