新たなWindowsゼロデイ脆弱性がNTLMハッシュを漏洩、非公式パッチがリリース

2025年3月、Windows環境における新たなゼロデイ脆弱性が公表されました。
この脆弱性は、ユーザーがWindows Explorer（エクスプローラー）で特定のファイルを“見るだけ”で、NTLMハッシュが外部に漏洩するというものです。

この攻撃は技術的には古典的なNTLMリレー／パス・ザ・ハッシュ攻撃に分類されますが、ユーザーの明示的な操作が不要である点が極めて深刻です。

問題の概要ファイルを「見るだけ」で認証情報が漏れる

このゼロデイは、セキュリティ企業ACROS Securityが別のNTLM関連問題を調査中に偶然発見したもので、SCFファイルという特殊なファイル形式が悪用されます。

攻撃の流れは以下のとおりです

1. 攻撃者が細工した .scf ファイルを用意

2. 被害者が、そのファイルを含むフォルダをエクスプローラーで閲覧するだけで自動的に外部サーバーに認証要求が送信される

3. 被害者のWindowsが、攻撃者サーバーにNTLMハッシュ付きの認証リクエストを送信

4. 攻撃者はそのハッシュを使って、横展開やリレー攻撃を実行

ポイントは、「ファイルを開く」のではなく「表示するだけ」で認証情報が抜かれてしまうことです。

影響範囲

この脆弱性の影響を受けるのは、以下のすべてのバージョンのWindowsです

• Windows 7 〜 Windows 11（最新版を含む）

• Windows Server 2008 R2 〜 Server 2025

現時点でこの脆弱性にはCVE番号の割り当てすらされておらず、Microsoftからの公式パッチも未提供です。

NTLMハッシュ漏洩のリスクとは？

NTLMはMicrosoftがかつて標準としていた認証プロトコルで、現在も多くの環境で利用されています。
そのため、漏洩したNTLMハッシュを使った「なりすまし」は、以下のような被害につながります

• SMB共有フォルダへの不正アクセス

• ドメイン認証バイパスによる横展開

• Exchange ServerやIISへのセッション乗っ取り

• VPN、RDPなど社内アクセス基盤への侵入

NTLM は広く悪用されてきましたので2024年、Microsoft は将来の Windows 11 バージョンでNTLM 認証プロトコルを廃止する計画を発表しました。

しかし現実にはまだ広範に使われており、影響は無視できません。

ACROS Securityが非公式パッチをリリース

ACROS Securityは、今回のゼロデイに対して0patchエージェントを利用した「Micropatch（インメモリパッチ）」を無料で提供しています。

Microsoftの対応と今後の動向

Microsoftは「調査中」との声明を出していますが、過去にもNTLM関連の問題は対応が後手に回る傾向がありました（例：PetitPotam、PrinterBug、DFSCoerceなど）。

実際、0patchが指摘してきた他のNTLM脆弱性のいくつかは未だに公式修正が存在しないものもあります。

参照

New Windows zero-day leaks NTLM hashes, gets unofficial patch