Windowsの「リモート デスクトップ接続」(RDP)の認証情報がメモリに平文保存される問題が、一部のセキュリティ研究者の間で指摘されている。 Umm- why can I find the password I used to connect to a remote desktop service in cleartext in memory of RDP service? First saw my microsoft accounts pwd- made new local account- same thing. For this user its: wtfmsnotcool pic.twitter.com/lRMhDCMJkH ― Jonas L (@jonasLyk) May 14, 2021 古いWindowsでは「WDigest」と呼ばれる認証をサポートするため、復号されたパスワードがアクセス権を管理する「lsass.exe」のメモリに平文保存されていることがあった。しかし、セキュリティへの懸念から、最近のWindows(Windows 8.1世代以降)ではWDigest認証が初期状態で無効化されており、基本的にメモリ上でパスワードが平文保存されることはないという(とはいえ、WDigest認証自体は現行のOSでもまだサポートされているので、システム権限を奪われるようなことがあれば、有効化されてしまう可能性はある)。 今回問題とされているのは、RDP経由でシステムに接続する際に用いられたパスワードが、「lsass.exe」ではなくサービスホストプロセス(svchost.exe)のメモリで復号された状態で見つかったことだ。メモリからパスワードをダンプするツールを検知する既存のセキュリティシステムは「svchost.exe」から平文パスワードが得られることを想定していない可能性があり、防御を迂回されてしまう恐れがある。 So #mimikatz wanted passwords, and Terminal Server has some for us🥝 Cleartext passwords *decrypted* on a fully, up to date Windows 2019 Server No library, no previous code injection, and doesn't use junk part of memory😉 Ping @jonasLyk, still in testing ... 🤪 pic.twitter.com/F2ALmSSRyd ― 🥝 Benjamin Delpy (@gentilkiwi) May 16, 2021 平文パスワードが得られてしまう条件などについてはいまのところ不明で、今のところこの問題単体ではそれほど脅威にならないとみられる。メモリからパスワードを得るには、ローカル環境で解析ツールを駆使する必要もある。しかし、解析手法が洗練されたり、他の脆弱性や攻撃ツールとの組み合わせ次第では深刻となりうる。ベンダーによるできるだけ早い対応・対策に期待したい。
窓の杜,樽井 秀人
からの記事と詳細 ( Windowsの「リモート デスクトップ接続」のパスワードがメモリに平文保存 ~一部のセキュリティ研究者の間で指摘(Impress Watch) - Yahoo!ニュース )
https://ift.tt/3uZPvAc
No comments:
Post a Comment