マイクロパッチの提供サービスを提供する0patchは12月5日、攻撃者がマルウェアを使ってNTLM認証情報を盗むことを可能にする新しいWindowsの脆弱性を発見したことを発表しました。
0patchはこの問題を次のように説明しています。
Our researchers discovered a vulnerability on all Windows Workstation and Server versions from Windows 7 and Server 2008 R2 to the latest Windows 11 v24H2 and Server 2022.
The vulnerability allows an attacker to obtain user's NTLM credentials by simply having the user view a malicious file in Windows Explorer - e.g., by opening a shared folder or USB disk with such file, or viewing the Downloads folder where such file was previously automatically downloaded from attacker's web page.
当社の研究者は、Windows 7およびServer 2008 R2から最新のWindows 11 v24H2およびServer 2022までのすべての Windows WorkstationおよびServerバージョンに上に存在する脆弱性を発見しました。
この脆弱性により、攻撃者はユーザーに Windowsエクスプローラで悪意のあるファイルを閲覧させるだけで、ユーザーのNTLM認証情報を取得することが可能となります。例えば、そのようなファイルを含む共有フォルダや USB ディスクを開いたり、そのようなファイルが攻撃者の Webページから以前に自動的にダウンロードされたダウンロードフォルダを閲覧したりすることで、攻撃者はユーザーの NTLM 認証情報を取得することが可能となります。
脆弱性はWindows 7からWindows 11 24H2まで、Windows Server 2008 R2からWindows Server 2022までのすべてのWindowsクライアント、サーバーに影響します。
なお、Windows Server 2025はこのリストに含まれていませんが、Windows Server 2025はリースから1ヵ月も経っていないため、まだテスト中の段階にあるとのこと。テストが完了し、結果が満足いくものであれば0dayパッチの発行を開始する予定とのこと。
パッチは0patch Centralから入手できますが、無料アカウントを作成する必要があります。また、Microsoft以外のパッチを信頼することができないという方は、Microsoftからのコメントをまったほうがよいと思います(本当に深刻な問題ならばなんらかのリアクションがあるはずです)。
[via Neowin]
