セキュリティ研究者が、Windows 10 OSに重大な脆弱性を発見し、この脆弱性により攻撃者は、特権昇格やユーザーアカウントのパスワードにアクセスすることが可能であることを発表しました。
win11で、何らかの理由でSAMファイルがユーザー用に読まれるようになりました。
つまり、シャドウボリュームを有効にしていれば、このようにSAMファイルを読むことができるのです。
この問題の全貌はまだわかりませんが、問題にならないものではなさそう
Jonas Lyk氏が発見したこの脆弱性は、Windows 10が一部のOS設定ファイルへのアクセスを許可する方式に存在する脆弱性です
特に、SeriousSAMと呼ばれるこの脆弱性は、SAM、SECURITY、SYSTEMなどのフォルダへのアクセスを制御する仕組みを利用しています
C:\Windows\System32\config\sam
C:\Windows\System32\config\security
C:\Windows\System32\config\system
これらのフォルダは、すべてのWindowsユーザーアカウントのハッシュ化されたパスワード、セキュリティ関連の設定、暗号化キーに関するデータなどOSの中核となる設定情報が梱包されているため非常に重要なWindowsフォルダです。
これらのフォルダに格納されているファイルを読み取ることができれば、重要な情報を入手することができ、ユーザーのパスワードやシステム設定を悪用することが可能になり、これらの設定ファイルを操作できるのはWindowsの管理者アカウントのみとなっています。
Windows 11のテスト中に偶然発見されたバグ
Windows 11のテストを行っていた際、Windowsが権限の低いユーザーに機密設定ファイルへのアクセスを制限している状態で、ファイルシステムの操作時にコンピューターのファイルのスナップショットを作成するWindowsの機能であるシャドウボリュームコピーによって作成されたバックアップファイルにも、これらのファイルのコピーが保存されていることを発見。
古いWindows OSバージョンでは、シャドウボリュームコピー機能でこれらのファイルへのアクセスが制限されていましたが、Lyk氏をはじめとする研究者は、2018年11月にリリースされたWindows 10 v1809以降、Microsoftがシャドウボリュームコピーのバックアップでこれらの設定ファイルへのアクセスをブロックしていないことを発見しました。
これは、Windows 10にアクセスできたマルウェアや攻撃者が、SeriousSAM脆弱性を悪用して、過去2.5年間にリリースされたすべてのWindowsバージョンを完全に制御できることを意味しています。
攻撃者がSAM(Security Account Manager)設定ファイルにアクセスすることは、つまりハッシュ化されたパスワードを盗み、そのハッシュをオフラインでクラック、アカウントを乗っ取ることができるため、非常に問題と考えられます。
しかし、SYSTEMフォルダやSECURITYフォルダに格納されている他の設定ファイルからも、DPAPI暗号化キーやマシンアカウントの詳細(コンピュータをActive Directoryに結合する際に使用されるデータ)など、同様に危険なデータが得られる可能性があります。
まだパッチはリリースされていない
マイクロソフト社は、公開したセキュリティアドバイザリの中で、この問題を正式に認め、CVE-2021-36934としてトラック。一時的な緩和策としてすべてのShadow Volume Copyバックアップを削除することを推奨しています。
Security Accounts Manager (SAM) データベースを含む複数のシステムファイルに、範囲を超えたアクセス制御リスト (ACL) が設定されているため、特権昇格の脆弱性が存在します。この脆弱性を悪用した攻撃者は、SYSTEM 権限で任意のコードを実行することができます。また、攻撃者は、プログラムのインストール、データの表示、変更、削除、および完全なユーザー権限を持つ新しいアカウントの作成を行うことができます。
この脆弱性を悪用するには、攻撃者が被害者のシステム上でコードを実行する権限を持っている必要があります。
セキュリティ研究者のKevin Beaumont氏は、システム管理者がどのシステムがSeriousSAM攻撃に対して脆弱であるかをテストするための概念実証コードを公開しています。
Comments