Windows

研究者らは、2023 年 5 月の火曜日のパッチの一部として修正された、現在悪用されている Windows ローカル権限昇格の脆弱性に対する概念実証 (PoC) エクスプロイトをリリースしました。

Win32k サブシステム (Win32k.sys カーネル ドライバー) は、オペレーティング システムのウィンドウ マネージャー、画面出力、入力、およびグラフィックスを管理し、さまざまな種類の入力ハードウェア間のインターフェイスとして機能します。

そのため、この種の脆弱性を悪用すると、権限が昇格されたり、コードが実行されたりする傾向があります。

この脆弱性はCVE-2023-29336として追跡されており、 サイバーセキュリティ企業アバストによって最初に発見されました。 CVSS v3.1 重大度評価 7.8 が割り当てられました。これは、特権の低いユーザーでも、Windows の最高のユーザー モード特権である Windows SYSTEM 特権を取得できるためです。

アバストは、この脆弱性がゼロデイ攻撃として積極的に悪用された後に発見したと述べている。ただし、同社はさらなる詳細を と共有することを拒否しているため、どのように悪用されたのかは不明です。

積極的に悪用されているこの欠陥と Windows セキュリティ更新プログラムを適用する必要性についての意識を高めるために、CISA もアラートを発行し、それを「既知の悪用された脆弱性」カタログに追加しました。

パッチが利用可能になってからちょうど 1 か月後、Web3 サイバーセキュリティ企業 Numen のセキュリティ アナリストが、CVE-2023-29336 の欠陥と Windows Server 2016 の PoC エクスプロイトに関する完全な技術詳細を公開しました。

欠陥の再発見

この脆弱性は積極的に悪用されているが、Microsoftは、この脆弱性はWindows 10の古いバージョン、Windows Server、Windows 8を含む古いバージョンのWindowsにのみ影響し、Windows 11には影響しないとしている。

「この脆弱性は Win11 システム バージョンでは悪用できないように見えますが、以前のシステムには重大なリスクをもたらします」と Numen 氏はレポートで説明しています。

「このような脆弱性の悪用には悪名高い実績があり、この詳細な分析では、進化する軽減策を考慮に入れて、この特定の脆弱性を悪用するために脅威アクターが採用した手法を詳しく調査します。」

Numen の研究者は、Windows Server 2016 の脆弱性を分析した結果、Win32k はウィンドウ オブジェクトのみをロックし、ネストされたメニュー オブジェクトはロックできないことを発見しました。

この省略は、古いコードが新しい Win32k バージョンにコピーされた結果であると研究者らは述べており、攻撃者がシステム メモリ内の特定のアドレスを変更した場合、メニュー オブジェクトは改ざんまたはハイジャックに対して脆弱なままになります。

メニュー オブジェクトの制御を取得するということは、それを起動したプログラムと同じレベルのアクセス権を取得することを意味しますが、最初のステップで攻撃者に管理者レベルの権限を与えられなかったとしても、それは後続のステップでこれを達成するのに役立つ効果的な出発点となります。

研究者らは、さまざまなメモリ レイアウト操作方法、エクスプロイト トリガー、メモリ読み取り/書き込みシステム機能を実験し、最終的に SYSTEM 権限への信頼性の高い昇格を実現する実用的な PoC を開発しました。

このプロセスに関する技術的な詳細については、Numen レポートを参照してください。PoC のデモンストレーションは以下に示されています。

全体的な結論は、CVE-2023-29336 の悪用は特に困難ではないということです。

「解放されたメモリから再占有されたデータを使用して最初の書き込み操作を制御するためのさまざまな方法を熱心に検討することを除けば、通常、新たな悪用手法は必要ありません」と報告書には書かれています。

「この種の脆弱性は、デスクトップ ヒープ ハンドル アドレスの漏洩に大きく依存しており、この問題が徹底的に対処されなければ、古いシステムにとってセキュリティ リスクが残ることになります。」

Numen 氏は、システム管理者は、メモリ内またはウィンドウ オブジェクトに関連する異常なオフセットの読み取りおよび書き込みに注意する必要があると提案しています。これは、ローカル権限昇格のための CVE-2023-29336 の積極的な悪用を示している可能性があります。

すべての Windows ユーザーは、 2023 年 5 月のパッチを適用することをお勧めします。このパッチでは、特定の欠陥とは別に、ハッカーが積極的に悪用したさらに 2 つのゼロデイ脆弱性が修正されています。