Windows User Profile Serviceには、特定の条件下で攻撃者がSYSTEM権限を得ることができるローカルでの特権昇格のゼロデイ脆弱性がありますが、これに対する無償の非公式パッチが提供されています。
この脆弱性は、ユーザープロファイルサービスに存在します。
特に、ユーザーのオリジナルプロファイルフォルダが何らかの理由で破損またはロックされた場合に、一時的なユーザープロファイルフォルダを作成するコードに存在します。
ユーザーのオリジナルプロファイルフォルダから一時的なプロファイルフォルダにフォルダやファイルをコピーするプロセス(ローカルシステムとして実行される)がシンボリックリンクで攻撃され、システムの場所に攻撃者が書き込み可能なフォルダが作成され、その後に起動されるシステムプロセスが攻撃者のDLLをロードして実行する可能性があることを発見しました。
CVE-2021-34484として追跡されているこの脆弱性は、マイクロソフト社が8月のUpdateで不完全にパッチを当てたものです。
マイクロソフト社は、この問題を報告したセキュリティ研究者のAbdelhamid Naceri氏が提供した概念実証(PoC)の影響にのみ対処しましたが、その後特定の条件が満たされ、ユーザーアカウント制御(UAC)プロンプトが表示されている間に昇格したコマンドプロンプトを取得すると、攻撃者がマイクロソフトのパッチを回避して特権を昇格させ、SYSTEM権限を得ることができることを発見しました。
CVE-2021-34484バイパスPoCエクスプロイトをテストしたところ、すぐに昇格コマンドプロンプトが起動しました。
幸いなことに、この脆弱性を利用するためには攻撃者が他のユーザーの認証情報を知り、ログインする必要があるため、他のLPEのバグ(PrintNightmareを含む)のように広く悪用されることはないと思われます。
一方で、この脆弱性はWindows 10、Windows 11、Windows Server 2022を含むすべてのWindowsバージョンが動作するデバイスに影響を与えるという問題があります。
さらに、攻撃者は攻撃の際にエクスプロイトを展開するために別のドメインアカウントを必要とするだけであると述べています。
CVE-2021-34484のバイパスについて報告した後、マイクロソフトはこの問題を認識しており、”顧客を保護するために適切な措置を取る “と述べています。
Microsoft社がこのゼロデイ欠陥に対処するためのセキュリティ更新プログラムを作成中であるのに対し、マイクロパッチサービスの0patch社はに無料の非公式パッチ(マイクロパッチと呼ばれる)を公開しました。
0patchは、Windows User Profile Service 0day LPEに関する記事とPoCで提供した情報をもとにマイクロパッチを開発しました。
この無償パッチを適用すると、以下のWindowsバージョンでCVE-2021-34484バイパスを利用した攻撃をブロックすることができます。
- 2021年10月または11月のアップデートで更新されたWindows 10 v21H1 (32ビットおよび64ビット)
- 2021年10月または11月のアップデートで更新されたWindows 10 v20H2 (32 & 64ビット)
- Windows 10 v2004 (32 & 64 bit) Updated with October or November 2021 Updates(2021年10月または11月のアップデート)
- Windows 10 v1909 (32 & 64 bit) が 10 月または 11 月のアップデートで更新されました。
- Windows Server 2019 64ビットは、2021年10月または11月の更新プログラムで更新されました。
この脆弱性にはすでにCVE ID(CVE-2021-33742)が設定されていますが、ベンダーによる公式な修正プログラムがないため、0dayと判断しています。
この非公式パッチをシステムにインストールするには、まず0patchアカウントを登録し、0patchエージェントをインストールする必要があります。
エージェントを起動すると、マイクロパッチが自動的に適用され(カスタムパッチのエンタープライズポリシーでブロックされていない場合)、デバイスを再起動する必要はありません。
CVE-2021-33742マイクロパッチの動作デモのビデオは以下の通りです
Comments