Microsoftは今週、NTLMハッシュ漏洩を防ぐ追加の保護策として、Windowsのエクスプローラーでインターネットからダウンロードしたファイルのプレビュー機能を無効化したと発表しました。
この変更は、2025年10月のパッチチューズデーのセキュリティアップデートの一部として展開され、Mark of the Web(MotW)が付与されたすべてのファイルに適用されます。
Windowsは、ブラウザのダウンロードやメールの添付ファイルを取得した際にMotWを付与し、これらのファイルが潜在的なリスクを持つことをユーザーに警告します。Officeファイルの場合、悪意のあるコードを含む可能性のあるマクロをブロックします。
インターネットからダウンロードしたファイルのプレビューを無効にすることで、Microsoftは安全でない可能性のあるファイルをプレビューした際に発生するNTLMハッシュ漏洩のセキュリティ欠陥を防ぐことを目指しています。攻撃者は漏洩したハッシュをブルートフォースで解析してユーザーのパスワードを取得したり、リレー攻撃を仕掛けたりする可能性があります。
「この変更は、外部パスを参照するHTMLタグ(<link>、<src>など)を含むファイルをユーザーがプレビューした場合にNTLMハッシュが漏洩する脆弱性を緩和します。攻撃者はこのプレビューフィーチャーを悪用して機密認証情報を取得する可能性があります」とMicrosoftは説明しています。
同社はどの脆弱性に対応したか明言していませんが、ファイルエクスプローラーのなりすまし問題として説明されているCVE-2025-59214であり、攻撃者がネットワーク経由で機密情報を漏洩させる可能性があるようです。
このバグはCVE-2025-50154の回避策であり、さらにこれはCVE-2025-24054の回避策です。CVE-2025-24054はMicrosoftが3月に修正を試みたゼロクリックのNTLM認証情報漏洩の脆弱性です。CVE-2025-24054は実際の攻撃でも悪用されており、ポーランドやルーマニアの政府機関や民間機関も標的となっています。
元のバグは、悪意のある.library-msファイルをZIPアーカイブ内に配置することで発動します。ユーザーがアーカイブを展開すると、WindowsはリモートサーバーへのSMB認証リクエストを開始し、NTLMハッシュが漏洩します。
Microsoftは3月、悪意のあるファイルを選択したり右クリックしたりするだけで脆弱性が発動する可能性があると警告していました。
問題を分析する中で、Cymulateはパッチが回避可能であることを発見し、Microsoftは8月に新たな修正を展開、CVE-2025-50154を割り当て、元のパッチに残されたギャップが原因であると説明しました。
その直後、Cymulateはこれらのパッチも回避可能であることを発見し、Microsoftに報告。MicrosoftはCVE-2025-59214を割り当てました。
現在、Microsoftはインターネットからダウンロードしたファイルに対してエクスプローラーのプレビュー機能を無効化することで、NTLMハッシュの漏洩を防げるとしています。
10月のセキュリティパッチ適用後、エクスプローラーのプレビューペインは、プレビューしようとしているファイルが有害な可能性があること、信頼できる出所である場合のみ開くべきであることをユーザーに警告します。同様の警告はインターネットゾーンのファイル共有で閲覧するファイルにも適用されます。
ブロックを解除するには、ユーザーはダウンロードしたファイルを右クリックし、プロパティを選択して「ブロック解除」を行う必要があります。Microsoftによれば、この変更は次回のログインまで反映されない場合があります。
翻訳元: https://www.securityweek.com/microsoft-disables-downloaded-file-previews-to-block-ntlm-hash-leaks/
