GMOサイバーセキュリティ byイエラエ株式会社は4月27日、同社 オフェンシブセキュリティ部のエンジニアのデニス ファウストヴ氏、ルスラン サイフィエフ氏による「Microsoft Windows】Windows Credential Manager User Interfaceの脆弱性に関する解説記事を公開した。
CVE-2023-21726はCredUI(CredPackAuthenticationBufferW)のWindows API 関数に発見された脆弱性で、平文パスワードの漏えいにつながる可能性がある。
アプリケーションの設定データは通常、暗号化されディスク上に保存されるが、セキュリティモデルの設計不足や開発者のミスで、重要なデータが平文の状態で保存されてしまうことがあるという。
同社では、新しいWindowsをインストールし、OOBE(Out-of-Box Experience)を通じて最初のパスワード保護されたアカウントを作成し、仮想マシンのディスクドライブをスキャンしたところ、「C:¥Windows¥System32¥Config¥DEFAULT」ファイルに作成したパスワードが平文で保存されていることを確認している。
同社によると、主要な問題は credui.dllライブラリファイルにあり、ユーザーがCRED_PACK_PROTECTED_CREDENTIALSフラグを指定しているにもかかわらず、パスワードの暗号化が全く行われていないことが判明したとのこと。
同記事では、CredUI側からのプログラムによる実証や、OOBE側からの処理について解説し、公式からの緩和策についても検証を行っている。
