Windows 10の新たなゼロデイにより管理者権限が与えられ、非公式のパッチが適用される

バージョン1809以降のWindows 10に影響するMobile Device Management Serviceのローカル特権昇格(LPE)のゼロデイ脆弱性からユーザーを保護する無料の非公式パッチがリリースされました。

この脆弱性は「職場または学校へのアクセス」設定に存在し、CVE-2021-24084として追跡されている情報漏えいバグに対処するためにMicrosoftが2月に公開したパッチを回避するものです。

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-24084

最初の脆弱性を報告したセキュリティ研究者のAbdelhamid Naceri氏は、2021年6月に新たに発見されたバグを公開した後、パッチが適用されていないこの欠陥を悪用して管理者権限を得ることも可能であることを発見しました。

0patchの共同設立者であるMitja Kolsek氏は、

HiveNightmare/SeriousSAMが教えてくれたように、どのファイルを取得して何をすべきかを知っていれば、任意のファイルの公開をローカルな権限昇格にアップグレードすることができる

私たちは、Raj Chandel氏のブログ記事に記載されている手順をAbdelhamid氏のバグと組み合わせて使用し、ローカル管理者としてコードを実行することで、このことを確認しました

マイクロソフトはNaceri氏が6月に公開した情報にも気付いている可能性が高いですが、このLPEバグにはまだパッチを当てておらず2021年11月の最新セキュリティアップデートを適用したWindows 10システムが攻撃にさらされています。

幸いなことに、攻撃者がこの脆弱性を利用できるのは、非常に特殊な2つの条件が満たされた場合のみです。

  • Cドライブでシステム保護が有効になっており、少なくとも1つの復元ポイントが作成されていること。システム保護がデフォルトで有効になっているか無効になっているかは、さまざまなパラメータによって異なります。
  • コンピュータ上で少なくとも1つのローカル管理者アカウントが有効になっていること、または少なくとも1つの「Administrators」グループメンバーの資格情報がキャッシュされていること。

影響を受けるすべてのWindows 10システムに対する非公式のパッチ

マイクロソフト社がこのセキュリティ問題に対処するためのセキュリティアップデートをリリースするまでの間、マイクロパッチサービス「0patch」は影響を受けるすべてのWindows 10バージョン用の無料の非公式パッチをリリースしました(Windows 10 21H2も影響を受けますが、0patchはまだサポートしていません)。

https://0patch.com/

  • Windows 10 v21H1 (32 & 64 bit) November 2021 Updatesでアップデート
  • Windows 10 v20H2 (32 & 64 bit) November 2021 Updates でアップデート
  • Windows 10 v2004 (32 & 64 ビット) は2021年11月のアップデートで更新
  • Windows 10 v1909 (32 & 64 bit)は2021年11月のアップデートで更新
  • Windows 10 v1903 (32 & 64 ビット) は 2021年11月のアップデートで更新
  • Windows 10 v1809 (32 & 64 bit)は2021年5月のアップデートで更新

“Windows Server “には、脆弱な機能が存在しないため、影響を受けません。同様の診断ツールがサーバーにも存在しますが、それらは起動ユーザーのIDで実行されるため、悪用することはできません。

Windows 10 v1803や古いWindows 10のバージョンも影響を受けないようです。Windows 10 v1803やそれ以前のWindows 10も影響を受けないようです。これらのバージョンにも “仕事や学校へのアクセス “機能はありますが、動作が異なるため、この方法で悪用することはできません。Windows 7には「仕事や学校へのアクセス」機能は全くありません。

マイクロパッチのインストール方法

非公式のパッチをシステムにインストールするには、0patchアカウントを登録し、0patchエージェントをインストールする必要があります。

デバイス上でエージェントを起動すると、再起動を必要とせずに自動的にパッチが適用されます

Naceri社が週末に公開したPoC(proof-of-concept)エクスプロイトを用いて、このゼロデイをうまく利用すると、攻撃者はWindows 10、Windows 11、Windows Server 2022などの最新のWindowsバージョンを実行している最新のデバイスでSYSTEM権限を得ることができます。

マルウェアの作成者は、このPoCエクスプロイトを少量の攻撃でテストし始めており、将来の本格的なキャンペーンに向けたテストと調整に重点を置いているようです。

コメントを残す

メールアドレスが公開されることはありません。