ニュース

Windowsの「リモート デスクトップ接続」の認証情報がメモリに平文保存、一部のセキュリティ研究者の間で話題に

RDP資格情報を盗めてしまう可能性

この問題について論じたブログ

 Windowsの「リモート デスクトップ接続」(RDP)の認証情報がメモリに平文保存される問題が、一部のセキュリティ研究者の間で指摘されている。

 古いWindowsでは「WDigest」と呼ばれる認証をサポートするため、復号されたパスワードがアクセス権を管理する「lsass.exe」のメモリに平文保存されていることがあった。しかし、セキュリティへの懸念から、最近のWindows(Windows 8.1世代以降)ではWDigest認証が初期状態で無効化されており、基本的にメモリ上でパスワードが平文保存されることはないという(とはいえ、WDigest認証自体は現行のOSでもまだサポートされているので、システム権限を奪われるようなことがあれば、有効化されてしまう可能性はある)。

 今回問題とされているのは、RDP経由でシステムに接続する際に用いられたパスワードが、「lsass.exe」ではなくサービスホストプロセス(svchost.exe)のメモリで復号された状態で見つかったことだ。メモリからパスワードをダンプするツールを検知する既存のセキュリティシステムは「svchost.exe」から平文パスワードが得られることを想定していない可能性があり、防御を迂回されてしまう恐れがある。

 平文パスワードが得られてしまう条件などについてはいまのところ不明で、今のところこの問題単体ではそれほど脅威にならないとみられる。メモリからパスワードを得るには、ローカル環境で解析ツールを駆使する必要もある。しかし、解析手法が洗練されたり、他の脆弱性や攻撃ツールとの組み合わせ次第では深刻となりうる。ベンダーによるできるだけ早い対応・対策に期待したい。