Microsoftは、攻撃者がWindows Defender Application Control(WDAC)を回避してプレーンテキストの認証情報にアクセスできる2つの脆弱性に対して、PowerShell 7にパッチを適用するようシステム管理者に通知したと発表しました。
PowerShellは、コマンドラインシェル、フレームワーク、PowerShellコマンドレットを処理するための自動化に特化したスクリプト言語を提供するクロスプラットフォームソリューションです。
Microsoftは、9月および10月にPowerShell 7およびPowerShell 7.1の各バージョンにおいて、これらのセキュリティ上の欠陥に対応したPowerShell 7.0.8およびPowerShell 7.1.5をリリースしました。
パスワードの流出とWDACのバイパス
WDACは、潜在的に悪意のあるソフトウェアからWindowsデバイスを保護することを目的としており、信頼できるアプリやドライバーのみが実行できるようにすることで、マルウェアや不要なソフトウェアの起動を阻止する機能です
WindowsでソフトウェアベースのWDACセキュリティレイヤーが有効になると、PowerShellは自動的に制約言語モードになり、限られたWindows APIへのアクセスのみが制限されます。
Windows Defender Application Controlのセキュリティ機能バイパスの脆弱性(CVE-2020-0951)を悪用することで、WDACの許可リストを回避することができ、WDACが有効な場合にはブロックされるPowerShellコマンドを実行することができます。
この脆弱性を利用するためには、攻撃者は、PowerShellが動作しているローカルマシンの管理者権限が必要です。攻撃者は、PowerShellセッションに接続し、任意のコードを実行するコマンドを送信することができます
CVE-2021-41355として追跡されている2つ目の脆弱性は、.NET Coreにおける情報漏えいの脆弱性でWindows以外のプラットフォームを実行しているデバイス上で認証情報が平文で漏れる可能性があります。
情報漏えいの脆弱性が.NETに存在し、System.DirectoryServices.Protocols.LdapConnectionが、Windows以外のOSで認証情報を平文で送信する可能性があります
影響を受けているかどうかの確認方法
CVE-2020-0951はPowerShell 7とPowerShell 7.1の両方のバージョンに存在しますが、CVE-2021-41355はPowerShell 7.1のユーザーにのみ影響します。
実行しているPowerShellのバージョンを確認し、これら2つのバグを悪用した攻撃に対して脆弱性があるかどうかを判断するにはコマンドプロンプトからpwsh -vコマンドを実行します。
マイクロソフト社によると、これらのセキュリティ上の欠陥の悪用を阻止するための緩和策は現在のところ用意されていないとのことです。
管理者の方は攻撃からシステムを保護するために、更新されたPowerShell 7.0.8および7.1.5のバージョンをできるだけ早くインストールすることをお勧めします。
システム管理者は、PowerShell 7を影響を受けないバージョンに更新することをお勧めします
マイクロソフトは7月にPowerShell 7に別の深刻度の高い.NET Coreのリモートコード実行の脆弱性があることを警告しました。
Comments