GMOサイバーセキュリティ byイエラエ株式会社は4月27日、同社 オフェンシブセキュリティ部のエンジニアのデニス ファウストヴ氏、ルスラン サイフィエフ氏による「Microsoft Windows】Windows Credential Manager User Interfaceの脆弱性に関する解説記事を公開した。
CVE-2023-21726はCredUI(CredPackAuthenticationBufferW)のWindows API 関数に発見された脆弱性で、平文パスワードの漏えいにつながる可能性がある。
アプリケーションの設定データは通常、暗号化されディスク上に保存されるが、セキュリティモデルの設計不足や開発者のミスで、重要なデータが平文の状態で保存されてしまうことがあるという。
同社では、新しいWindowsをインストールし、OOBE(Out-of-Box Experience)を通じて最初のパスワード保護されたアカウントを作成し、仮想マシンのディスクドライブをスキャンしたところ、「C:¥Windows¥System32¥Config¥DEFAULT」ファイルに作成したパスワードが平文で保存されていることを確認している。
同社によると、主要な問題は credui.dllライブラリファイルにあり、ユーザーがCRED_PACK_PROTECTED_CREDENTIALSフラグを指定しているにもかかわらず、パスワードの暗号化が全く行われていないことが判明したとのこと。
同記事では、CredUI側からのプログラムによる実証や、OOBE側からの処理について解説し、公式からの緩和策についても検証を行っている。
![北 中華製AIを攻撃活用/北 DMARC不正利用/北 日本のアニメ制作関与か ほか [Scan PREMIUM Monthly Executive Summary 2024年4月度]](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/44783.jpg)