CrowdStrike Blog:CrowdStrike FalconはDell製ドライバの脆弱性(CVE-2021-21551)を悪用するカーネル攻撃を検知 | ScanNetSecurity
2021.07.26(月)

CrowdStrike Blog:CrowdStrike FalconはDell製ドライバの脆弱性(CVE-2021-21551)を悪用するカーネル攻撃を検知

カーネルドライバの脆弱性は、特権昇格を許し、セキュリティ機能の無効化やユーザー認証情報の詐取、インフラストラクチャ内の水平移動などを可能にするため、攻撃者にとって垂涎の的となっています。

国際
CrowdStrike Blog:CrowdStrike FalconはDell製ドライバの脆弱性(CVE-2021-21551)を悪用するカーネル攻撃を検知
  • CrowdStrike Blog:CrowdStrike FalconはDell製ドライバの脆弱性(CVE-2021-21551)を悪用するカーネル攻撃を検知
  • 図1:DBUtil_2_3を悪用して非管理者からカーネルメモリを読み取る
  • 図2:IOCTLの悪用を検知
 カーネルモードコンポーネントに内在する脆弱性は、エンドポイントのセキュリティに深刻な影響を及ぼします。OS ベンダーや独立系ソフトウェアベンダーは、長年コードのセキュリティを向上させてきました。しかし、10 年前に設計・実装されたカーネルモードドライバをエンドポイントで使用していたらどうなるでしょうか。

 CrowdStrike は、Dell の BIOS アップデートに使用されるシステム更新用ソフトウェアのカーネルモードドライバ「dbutil_2_3.sys」に脆弱性(CVE-2021-21551)が存在することをDellに報告しました。Dell は、この脆弱性について情報交換と確認を行った後、2021 年 5 月 4 日にこの問題を公表しました。影響を受ける可能性のあるエンドポイントの混乱を最小限に抑えるべく、同脆弱性を報告した他のセキュリティ研究者たちもこれに協力しました。

 dbutil_2_3.sys のこの脆弱性が深刻である理由は、ドライバは正規の署名済みで、何年もの間、パッチ未適用のまま野放しになっていた可能性があり、攻撃対象領域が著しく拡大されていたことです。

 CVSS のベーススコアでは 8.8 に分類されており、これが武器として利用された場合、世界中の Dell のエンタープライズ向けシステムに数年間にわたって影響していた可能性があります。Dell は、このドライバの 10 年にわたる問題を認めるセキュリティ情報を公開していますが、CrowdStrike Falcon のお客様は、この問題を悪用する攻撃から保護されています。

カーネルモードへの権限昇格

 攻撃者グループらは、常に戦術や技術を改善し、防御側の検知を逃れながら、攻撃の効果を最大化しようとしています。DSA-2021-088(CVE-2021-21551)は、攻撃者のツールセットに追加されると、カーネルモード権限への昇格が可能になる脆弱性です。

 カーネルドライバの脆弱性は、特権昇格を許し、セキュリティ機能の無効化やユーザー認証情報の詐取、インフラストラクチャ内の水平移動などを可能にするため、攻撃者にとって垂涎の的となっています。

Dell製ドライバの脆弱性

 DSA-2021-088 は、Dell の「dbutil_2_3.sys」カーネルモードドライバに内在する脆弱性に関連しています。このドライバは、Dell のシステムアップデートソフトウェアが BIOS の更新に使用するもので、LatitudeXXXX.exe などの BIOS 更新実行ファイルに組み込まれ、展開/ロードされます。

 このドライバの問題点は、通常は管理者権限が必要な操作を管理者以外が実行できるようにする複数の IOCTL を使用して、ローカル権限昇格(LPE)を成立させていることです。

以下にその一部の例を紹介します。

・0x9B0C1EC8 および 0x9B0C1EC4 は、任意のカーネルメモリの書き込みと読み出しを可能にする

・0x9B0C1F44 および 0x9B0C1F40 は、任意の物理メモリの書き込みと読み出しを可能にする

・0x9B0C1F80、0x9B0C1F84、0x9B0C1F88、0x9B0C1F8C などは、任意の IO ポートへのアクセスを可能にする

 これらすべて、非管理者にとって本来ならばローカル権限昇格が必要な操作です。この記事の執筆時点では、一般に入手可能なエクスプロイトは発見されていませんが、これらの脆弱性の中には、実際に悪用可能なものもあります。以下は、0x9B0C1EC4 を悪用して、非管理者ユーザーがカーネルメモリアドレスの内容を読み取る例です。

図1:DBUtil_2_3を悪用して非管理者からカーネルメモリを読み取る
図1:DBUtil_2_3を悪用して非管理者からカーネルメモリを読み取る

 もし、エンドポイントに Dell のシステムアップデートプログラムがすでにインストールされており、アップデートを自動的にチェックするように設定されている場合、このドライバが自動的にロードされる可能性があるため、さらに厄介になります。つまり、攻撃者がわざわざ dbutil_2_3.sys ファイルを投下して、管理者権限に昇格し、ドライバをロードする必要がなくなるということです。この場合、IOCTL を発行するプログラムを非管理者として実行するだけでよいため、前者のシナリオに比べて検知が大幅に難しくなります。

CrowdStrike の保護機能

 CrowdStrike Falcon プラットフォームは、このような問題に対する可視性を提供し、Additional User-Mode Data(AUMD)を使用して、脆弱なドライバの悪用からエンドポイントを保護してきました。この詳細については、『Detecting and Preventing Kernel Attacks(カーネル攻撃の検知と防御)』をご一読ください。CrowdStrike が提供する機能と、その適用例を紹介しています。

 特に DSA-2021-088(CVE-2021-21551)に対しては、Falcon 6.18 以上を搭載するエンドポイントにおいて、実世界で悪用される可能性の高い上記の IOCTL の一部をカバーする可視性を提供しています。これらの IOCTL の 1 つが悪用された場合、攻撃者が上記のドライバインストール手順を回避したとしても、以下に示すように FalconのUI に「深刻度:高」として表示されます。

図2:IOCTLの悪用を検知
図2:IOCTLの悪用を検知

 IOCTL に対する防御機能に加え、Falcon はユーザーに Event Search(イベント検索機能)へのアクセスを提供しており、このクエリによって、脆弱なドライバが組織内にどれだけ広くロードされているかを特定することができます。

event_simpleName=DriverLoad SHA256HashData IN (0296e2ce999e67c76352613a718e11516fe1b0efc3ffdb8918fc999dd76a73a5, 87e38e7aeaaaa96efe1a74f59fca8371de93544b7af22862eb0e574cec49c7c3) | dedup aid

 また、Falcon のユーザーは、次のように、DriverLoaded および UmppcDetectInfo イベントを通じて、ドライバのロードを開始したプロセスや、詳細な調査を必要とする脆弱な IOCTL を発行したプロセスを照会することができます。

event_simpleName=ProcessRollup2
[ search event_simpleName=DriverLoad SHA256HashData IN (0296e2ce999e67c76352613a718e11516fe1b0efc3ffdb8918fc999dd76a73a5, 87e38e7aeaaaa96efe1a74f59fca8371de93544b7af22862eb0e574cec49c7c3)
| where isnotnull(RpcClientProcessId_decimal)
| rename RpcClientProcessId_decimal as TargetProcessId
| fields TargetProcessId, aid
]

event_simpleName=ProcessRollup2
[ search event_simpleName=UmppcDetectInfo DeviceName="\\Device\\DBUtil_2_3"
| rename ContextProcessId as TargetProcessId
| fields TargetProcessId, aid
]

 CrowdStrike は、このドライバの積極的な悪用を監視し、より多くの事例を観察して検知を強化していきます。その間に、皆様はこのドライバをロードしているホストの一覧を作成し、Dell が提供するガイドに従って問題を修正することを強くお勧めします。

 この問題に対処してくださった Dell と、修正作業に協力したコミュニティメンバーに感謝の念を述べたいと思います。

参考文書:

DSA-2021-088:Dell dbutil ドライバーの不十分なアクセス制御の脆弱性に対する Dell クライアントプラットフォームのセキュリティアップデート

DSA-2021-088:Dell dbutil ドライバーに存在する不十分なアクセス制御の脆弱性に関する Dell クライアントプラットフォームのセキュリティアップデートに関する追加情報

その他のリソース

CrowdStrike の製品紹介ページでは、CrowdStrike Falcon プラットフォームについて説明しています。

・CrowdStrike の EDR 機能に関する詳細については、Falcon Insight の Web ページで紹介しています。

Falcon Spotlight を使用して、環境内の脆弱性を継続的に監視・評価する方法についてご一読ください。

・CrowdStrike の次世代型AVをお試しください。Falcon Prevent の無料トライアル版をすぐに試してみましょう。

*原文はCrowdStrike Blog サイト掲載 :https://www.crowdstrike.com/blog/crowdstrike-falcon-detects-dell-driver-vulnerability-cve-2021-21551/
《丹田 賢(CrowdStrike)》

編集部おすすめの記事

特集

国際 アクセスランキング

  1. SCAN DISPATCH : 研究者集団、逆エクスプロイトでボットネット本体の乗っ取りに成功

    SCAN DISPATCH : 研究者集団、逆エクスプロイトでボットネット本体の乗っ取りに成功

  2. BOT使用のPS5まとめ買いでの転売行為、英国で禁止の動き

    BOT使用のPS5まとめ買いでの転売行為、英国で禁止の動き

  3. TrueCrypt の監査が見落とした、神モードのセキュリティホールがここに~人気の暗号化ソフトに特権昇格の脆弱性(The Register)

    TrueCrypt の監査が見落とした、神モードのセキュリティホールがここに~人気の暗号化ソフトに特権昇格の脆弱性(The Register)

  4. 動画投稿サイトへの「大乱闘スマッシュブラザーズSPECIAL」コンテンツの無断投稿、アカウント停止処分に

  5. 【続報】Anonymous Japan のDDoS攻撃ツール(Far East Research)

  6. 黒いヘリのことは忘れろ、FBI が米国の街々で令状なく監視用のセスナを飛ばしている~ FBI は「金の無駄だから、それについては言及しないように」と報道機関に依頼(The Register)

  7. CSDN他、中国で約600万件の個人情報が流出(Far East Research)

  8. 米国当局がStuxnetは米国とイスラエルの共同作戦だったことを認める〜ああ、そうですか、でもどうして私たちに言うんですか大統領閣下?(The Register)

  9. ハッカーの心理を研究

  10. 中国政府、9月から自国製品のゼロデイ脆弱性の管理に新たなレギュレーション

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×