Windowsのインストーラーから管理者権限を取得できる脆弱性が発見される、攻撃の回避策は?

Windowsのインストーラーから管理者権限を取得できる脆弱性が発見される、攻撃の回避策は?

  • GIGAZINE
  • 更新日:2021/11/25
No image

Windowsにソフトウェアを導入するためのインストーラーに、管理者権限を取得できる脆弱(ぜいじゃく)性があることが判明しました。発見者によるとMicrosoftのパッチを待つ以外に根本的な解決方法は存在しないとのこと。記事作成時点では発見された脆弱性を用いた攻撃が既に確認されており十分な警戒が必要です。

GitHub - klinix5/InstallerFileTakeOver

https://github.com/klinix5/InstallerFileTakeOver

Malware now trying to exploit new Windows Installer zero-day

https://www.bleepingcomputer.com/news/security/malware-now-trying-to-exploit-new-windows-installer-zero-day/

Cisco Talos Intelligence Group - Comprehensive Threat Intelligence: Attackers exploiting zero-day vulnerability in Windows Installer — Here’s what you need to know and Talos’ coverage

http://blog.talosintelligence.com/2021/11/attackers-exploiting-zero-day.html

Windowsの管理者権限を取得できる脆弱性を発見したのは、セキュリティ研究者のAbdelhamid Naceri氏です。Naceri氏はインストーラーに関連する脆弱性を発見してMicrosoftに報告し、Microsoftは2021年11月9日に脆弱性を「Windows インストーラーの特権の昇格の脆弱性(CVE-2021-41379)」として登録しました。MicrosoftはCVE-2021-41379の脅威について「攻撃者は、システム上の標的となるファイルを削除することしかできません。ファイルの内容を閲覧または変更する特権は得られません」と記し、「悪用される可能性は低い」と評価。CVE-2021-41379は2021年11月10日に公開したセキュリティ更新プログラムで修正されたはずでした。

No image

しかし、Naceri氏がMicrosoftによる修正を解析した結果、正しく修正されていないことが判明。加えて、脆弱性の脅威はMicrosoftの想定よりも深刻で、攻撃者がWindowsの管理者権限を取得できることが明らかになりました。Naceri氏はGitHubで管理者権限の取得を可能とする概念実証コードを公開しており、以下のムービーでは実際にセキュリティ関連メディアのBleeping Computerが概念実証コードを用いてWindowsの管理者権限を取得した様子を確認できます。

No image

通常のユーザー権限しか持っていない状態で概念実証コード「InstallerFileTakeOver.exe」を実行すると……

No image

管理者権限を取得できてしまいました。

No image

Naceri氏は、グループポリシーの変更による対策を試みたものの失敗したことをTwitterで報告しています。また、Naceri氏は概念実証コードを公開した投稿の中で「この投稿を記している時点で最善の回避策は、Microsoftによる修正パッチの公開を待つことです」と述べています。

It's really unfortunate how the issue cannot be mitigated without a patch from Microsoft.
I have attempted to mitigate the issue by prohibiting rollback in group policy.
However, the result was just worse. The installer ignored the flag and made the bug easier to exploit. https://t.co/Tz1HHs5eS7 pic.twitter.com/iWXKTNslOA
— Abdelhamid Naceri (@KLINIX5)
November 24, 2021
from Twitter

セキュリティ企業のCiscoは公式ブログの中で「この脆弱性は、完全にパッチが適用されたWindows 11やWindows Server 2022を含む、Microsoft Windowsの全バージョンに影響を及ぼします」と述べて、Naceri氏が発見した脆弱性の影響の広さを強調しています。加えて「私たちは、この脆弱性を利用しようとしているマルウェアをすでに検出しています」と、既に問題の脆弱性が攻撃に使われていることを明かしています。

この記事をお届けした
グノシーの最新ニュース情報を、

でも最新ニュース情報をお届けしています。

外部リンク

  • このエントリーをはてなブックマークに追加