ニュース
Windowsの「リモート デスクトップ接続」の認証情報がメモリに平文保存、一部のセキュリティ研究者の間で話題に
RDP資格情報を盗めてしまう可能性
2021年5月19日 06:45
Windowsの「リモート デスクトップ接続」(RDP)の認証情報がメモリに平文保存される問題が、一部のセキュリティ研究者の間で指摘されている。
Umm- why can I find the password I used to connect to a remote desktop service in cleartext in memory of RDP service?
— Jonas L (@jonasLyk)May 14, 2021
First saw my microsoft accounts pwd- made new local account- same thing.
For this user its: wtfmsnotcoolpic.twitter.com/lRMhDCMJkH
古いWindowsでは「WDigest」と呼ばれる認証をサポートするため、復号されたパスワードがアクセス権を管理する「lsass.exe」のメモリに平文保存されていることがあった。しかし、セキュリティへの懸念から、最近のWindows(Windows 8.1世代以降)ではWDigest認証が初期状態で無効化されており、基本的にメモリ上でパスワードが平文保存されることはないという(とはいえ、WDigest認証自体は現行のOSでもまだサポートされているので、システム権限を奪われるようなことがあれば、有効化されてしまう可能性はある)。
今回問題とされているのは、RDP経由でシステムに接続する際に用いられたパスワードが、「lsass.exe」ではなくサービスホストプロセス(svchost.exe)のメモリで復号された状態で見つかったことだ。メモリからパスワードをダンプするツールを検知する既存のセキュリティシステムは「svchost.exe」から平文パスワードが得られることを想定していない可能性があり、防御を迂回されてしまう恐れがある。
So#mimikatzwanted passwords, and Terminal Server has some for us🥝
— 🥝 Benjamin Delpy (@gentilkiwi)May 16, 2021
Cleartext passwords *decrypted* on a fully, up to date Windows 2019 Server
No library, no previous code injection, and doesn't use junk part of memory😉
Ping@jonasLyk, still in testing ... 🤪pic.twitter.com/F2ALmSSRyd
平文パスワードが得られてしまう条件などについてはいまのところ不明で、今のところこの問題単体ではそれほど脅威にならないとみられる。メモリからパスワードを得るには、ローカル環境で解析ツールを駆使する必要もある。しかし、解析手法が洗練されたり、他の脆弱性や攻撃ツールとの組み合わせ次第では深刻となりうる。ベンダーによるできるだけ早い対応・対策に期待したい。