Last Updated on 2024-03-14 20:11 by 荒木 啓介
2015年以降、Microsoft Windowsに影響を与える特権昇格(EoP)脆弱性に対するカーネルパッチがリリースされたが、パッチ適用後も一部の攻撃が観測されている。これらの脆弱性は、ユーザー権限を持つアカウントが脆弱なホストでSYSTEM特権を取得することを可能にする。影響を受けるプロセスとサービスには、CSRSS、Windows Error Reporting(WER)、File History Service、Background intelligence transfer service(BITS)、Print Spoolerなどが含まれる。
具体的な脆弱性としては、CSRSSのActivation Context Cache Poisoning脆弱性(CVE-2022-22047)、Print Spoolerの脆弱性(CVE-2022-29104、CVE-2022-41073)、Windows Error Reportingの脆弱性(CVE-2023-36874)、File History Serviceの脆弱性(CVE-2023-35359)、BITSの脆弱性(CVE-2023-35359)などが報告されている。
パッチ適用の方法としては、ObpLookupObjectNameに適用され、ロードされたリソースがファイルオブジェクトであるか、ObpUseSystemDeviceMapの呼び出しが成功するかをチェックする。脆弱性の悪用を確認する方法としては、C:\ドライブ内に書き込み可能なフォルダの作成、WinSxSフォルダ内のマニフェストファイルのコピーと修正、シンボリックリンクの作成などが指標となる。
【ニュース解説】
2015年以降、Microsoft Windowsに影響を与える特権昇格(Elevation of Privilege, EoP)脆弱性が存在しており、これによりユーザー権限を持つアカウントが脆弱なホストでSYSTEM特権を取得することが可能になっていました。この問題に対処するため、Microsoftは2023年8月にこれらの脆弱性に対するカーネルパッチをリリースしました。しかし、パッチ適用後も一部の攻撃が観測されており、セキュリティ研究者たちはこの問題を引き続き注視しています。
影響を受けるプロセスとサービスには、Client/Server Runtime Subsystem (CSRSS)、Windows Error Reporting (WER)、File History Service、Background Intelligence Transfer Service (BITS)、Print Spoolerなどが含まれます。これらはWindowsの基本的な機能を担うサービスであり、攻撃者によって悪用されるとシステム全体のセキュリティが脅かされます。
具体的な脆弱性としては、CSRSSのActivation Context Cache Poisoning脆弱性(CVE-2022-22047)、Print Spoolerの脆弱性(CVE-2022-29104、CVE-2022-41073)、Windows Error Reportingの脆弱性(CVE-2023-36874)、File History Serviceの脆弱性(CVE-2023-35359)、BITSの脆弱性(CVE-2023-35359)などが報告されています。これらの脆弱性は、シンボリックリンクやマニフェストファイルの悪用、DLLの不正なリダイレクトなど、さまざまな技術を用いて悪用されます。
パッチ適用の方法としては、ObpLookupObjectName関数に対する改善が行われました。この関数は、ロードされたリソースがファイルオブジェクトであるか、およびObpUseSystemDeviceMapの呼び出しが成功するかをチェックします。これにより、システムデバイスマップの代わりに偽装されたデバイスマップが使用されるのを防ぎます。
脆弱性の悪用を確認する方法としては、C:\ドライブ内に書き込み可能なフォルダを作成し、そのフォルダ構造がオリジナルのC:\ドライブのフォルダ構造を模倣している場合、悪用の試みがあった可能性が高いと考えられます。また、WinSxSフォルダ内のマニフェストファイルを書き込み可能なディレクトリにコピーし、修正する行為や、シンボリックリンクの作成も悪用の指標となり得ます。
この問題の解決には、Microsoftによるパッチの適用だけでなく、エンドユーザーやシステム管理者による迅速なアップデートの適用、セキュリティ対策の強化が必要です。また、このような脆弱性が発見され続けることは、ソフトウェアの複雑性とセキュリティの重要性を改めて示しており、継続的な監視と対策が求められます。
“Windowsの核心を揺るがす特権昇格脆弱性、パッチ後も攻撃継続” への1件のコメント
Microsoft Windowsの特権昇格(Elevation of Privilege, EoP)脆弱性に関するこの報告は、テクノロジー業界におけるセキュリティ上の課題を浮き彫りにしています。特に、パッチが適用された後も攻撃が観測されているという事実は、セキュリティ対策の複雑さと、それに対する攻撃者の機敏な対応能力を示しています。
この問題は、エンドユーザー、システム管理者、そしてソフトウェア開発者にとって重要な教訓を提供します。第一に、パッチ管理の重要性が強調されます。セキュリティパッチの迅速な適用は、システムを保護する基本的な手段です。しかし、この事例は、パッチ適用後も脆弱性が完全には解消されない可能性があることを示しており、パッチ管理だけでは不十分であることを教えてくれます。
第二に、エンドユーザーやシステム管理者は、セキュリティ対策を多層的に実施する必要があります。これには、定期的なシステムの監視、アクセス権限の最小化、利用者教育などが含まれます。攻撃者は常に新しい手法を探求しているため、対策も進化し続ける必要があります。
第三に、ソフトウェア開発者にとっては、セキュリティを設計の初期段階から考