新しいWindowsインストーラZero-Day Exploitが出回ってる

先日公開されたMicrosoft Windows Installerのゼロデイ脆弱性が、現在、マルウェア開発者に利用されています。脆弱性は、セキュリティ研究者のAbdelhamid Naceriが先週の日曜日にGithubに投稿して公開したもので、ユーザーレベルの権限から、最高のセキュリティ権限であるSYSTEMレベルまで、ローカルの権限を昇格させることができます。同氏によると、この脆弱性は、完全にパッチが適用されたWindows 11およびWindows Server 2022を含む、サポートされているすべてのバージョンのWindowsで動作するとのことです。Naceri氏は、この脆弱性をGitHubに投稿する前に、まずマイクロソフトに開示し、同社と協力して脆弱性の分析を行いました。

マイクロソフトは、2021年11月のパッチチューズデーにおいて、ゼロデイエクスプロイト「CVE-2021-41379」に対する緩和策を導入しましたが、問題を完全に修正することはできなかったようです。NaceriはGitHubに、マイクロソフトの緩和策が適用された後でも動作する、この脆弱性の概念実証のためのエクスプロイトを投稿しました。

Naceri氏の脆弱性は、Microsoft Edge Elevation ServiceのDACL（裁量的アクセス制御リスト）を利用します。これにより、攻撃者はシステム上の実行ファイルをMSIファイルに置き換え、管理者としてコードを実行することができます。BleepingComputerでは、Naceriのエクスプロイトをテストしたところ、低レベルの「Standard」権限を持つアカウントから、SYSTEM権限を持つコマンドプロンプトを開くことができました。

サイバーセキュリティ企業であるCisco Talos社は、悪用について声明を発表し、現在、欠陥を悪用しようとするマルウェアの事例がすでに確認されていると報告しました。Cisco Talos社のアウトリーチ部門の責任者であるニック・ビアシーニがBleepingComputerに語ったように、悪用の試みは、より大規模な攻撃の準備として、悪用のテストと調整に焦点を当てているようです。

ナセリは、"コンセプトの証明は非常に信頼性が高く、何も必要としないので、すべての試みで成功する "と説明しました。しかし、緩和策に関しては、研究者はマイクロソフトにボールを渡します。「記事を書いている時点で利用可能な最善の回避策は、この脆弱性が複雑であるため、マイクロソフトがセキュリティパッチをリリースするのを待つことです」とNaceriは説明しました。

Naceri氏はまた、Microsoft社のCVE-2021-41379パッチを回避するために行った作業の結果、2つの可能性のある脆弱性を発見したと述べました。1つは、今回報告する公開されたもので、もう1つは、Windows Installer Serviceのユニークな動作を引き起こし、同じ種類の特権昇格技術を可能にするものです。Naceri氏は、2つ目の悪用方法を公開する前に、MicrosoftがCVE-2021-41379の脆弱性に完全にパッチを当てるのを待つつもりだと述べました。

この問題について、Microsoft社の広報担当者はBleepingComputerに対し、「当社は情報開示を認識しており、お客様を安全に保護するために必要なことを行います。記載されている方法を使用する攻撃者は、対象となる被害者のマシン上でコードを実行するためのアクセス権と能力をすでに持っている必要があります。" マイクロソフトは当初、この脆弱性を中程度の深刻度に分類していましたが（基本CVSSスコア5.5、一時スコア4.8）、機能的なプルーフオブコンセプトコードがすでに世の中に出回っており、マルウェア開発者によって積極的に利用されているという事実は、この脆弱性の深刻度を高めるものであり、マイクロソフトはより迅速かつ決定的な修正を求めています。