◆概要
Microsoft Windows OS において、ユーザアカウント制御 (UAC) による制限を回避することが可能となる新たな手法が公開されています。Administrators グループに所属しているアカウントが乗っ取られてしまった場合、当該手法を悪用してホストの全権限を掌握されてしまう可能性があります。UAC のレベルを最高水準に引き上げることなどにより対策してください。
◆分析者コメント
当該手法は新しい Windows OS で実行可能な UAC 回避の手法ですが、手法の性質上、決まった場所に api-ms-win-core-kernel32-legacy-l1.dll という名前の DLL を配置する必要があるため、悪用の検知が比較的容易であると考えられます。UAC 回避の手法は基本的には UAC レベルを最大に引き上げることや、日常的に使うアカウントを管理者グループに所属しないアカウントに変更することで対策可能であるため、いずれかの手法で UAC 回避に根本的に対策することを推奨します。
◆影響を受けるソフトウェア
本手法の影響を受ける Windows OS の詳細な範囲は未確認ですが、少なくとも以下のバージョンの Windows OS が手法の影響を受けると報告されています(関連情報 [1])。
- Microsoft Windows 10 Version 1909
- Microsoft Windows 10 Version 1809
- Microsoft Windows 10 Version 1803
◆解説
Microsoft Windows OS において、プログラムの実装上の仕様を悪用して UAC による管理者権限の制限を回避する手法が公開されています。
Microsoft Windows OS において、ユーザアカウント制御 (UAC) による制限を回避することが可能となる新たな手法が公開されています。Administrators グループに所属しているアカウントが乗っ取られてしまった場合、当該手法を悪用してホストの全権限を掌握されてしまう可能性があります。UAC のレベルを最高水準に引き上げることなどにより対策してください。
◆分析者コメント
当該手法は新しい Windows OS で実行可能な UAC 回避の手法ですが、手法の性質上、決まった場所に api-ms-win-core-kernel32-legacy-l1.dll という名前の DLL を配置する必要があるため、悪用の検知が比較的容易であると考えられます。UAC 回避の手法は基本的には UAC レベルを最大に引き上げることや、日常的に使うアカウントを管理者グループに所属しないアカウントに変更することで対策可能であるため、いずれかの手法で UAC 回避に根本的に対策することを推奨します。
◆影響を受けるソフトウェア
本手法の影響を受ける Windows OS の詳細な範囲は未確認ですが、少なくとも以下のバージョンの Windows OS が手法の影響を受けると報告されています(関連情報 [1])。
- Microsoft Windows 10 Version 1909
- Microsoft Windows 10 Version 1809
- Microsoft Windows 10 Version 1803
◆解説
Microsoft Windows OS において、プログラムの実装上の仕様を悪用して UAC による管理者権限の制限を回避する手法が公開されています。
![日本トップ10入り、ハーバード大学 世界各国のサイバーパワーをランク付け ほか [Scan PREMIUM Monthly Executive Summary] 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/32337.png)
![AI アプリ標的 ゼロクリックワーム開発/北 韓国半導体企業へ攻撃/米司法省 APT31 メンバー訴追 ほか [Scan PREMIUM Monthly Executive Summary 2024年3月度] 画像](/imgs/std_m/44553.jpg)
![人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典] 画像](/imgs/std_m/43329.jpg)
