Microsoft、Windows NTLMがfile:// URLの時にSMB接続で自動的に認証する問題を確認
Windows NTLMにてHTTPリクエストを利用して不正なSMBサーバに自動的にリダイレクトされて情報が傍受される脆弱性が確認された。影響を受けるのはurlmon.dllのURLDownloadA、URLDownloadW、URLDownloadToCacheFileA、URLDownloadToCacheFileW、URLDownloadToFileA、URLDownloadToFileW、URLOpenStream、URLOpenBlockingStreamのWindows API関数で、Windows 10までの全バージョンに存在し、AdobeやApple、Microsoft、Oracle、Symantecなど31社のソフトウェアで影響を受ける可能性がある。
この脆弱性により、IEでfile://で始まるURLを入力するとHTTPリクエストを利用して不正なSMBサーバにリダイレクトされ、ユーザの認証情報が送信される。悪用されると、暗号化された認証情報が傍受され、総当たり攻撃により解読される恐れがある。現在この脆弱性に対する対応策は明らかになっていない。回避策として、ローカルネットワークからWANのTCPポート139番と445番へのアウトバウンドSMB接続のブロック又は適切なGroup PolicyでのNTLM制限へのアップデートなどが挙げられる。また、アプリケーションでNTLMを認証にデフォルトで使用しないよう推奨している。
