◆概要
Microsoft Windows で、特定の条件を満たすアカウントでの侵入に成功した場合に権限昇格が可能となる手法で SYSTEM 権限を奪取するエクスプロイトコードが公開されています。サーバソフトウェアなどの脆弱性を悪用されて攻撃者に侵入された場合などに、悪用される可能性があります。条件を満たすアカウントで稼働しているソフトウェアの脆弱性への対処により、手法の影響を受ける可能性を低減してください。
◆分析者コメント
当該手法は、SeImpersonatePrivilege が有効化されたアカウントが悪用可能な手法です。Microsoft Windows では、SeImpersonatePrivilege はサーバ型のソフトウェアの実行アカウントで有効化されている場合が多い特権であるため、サーバ型のソフトウェアの脆弱性の悪用により対象システムへの侵入に成功した攻撃者が当該手法を悪用する可能性が高いです。
本手法に類似した手法はこれまでにも複数通り報告されており、Microsoft により対策される場合がありますが、権限昇格の手法としての注目度が高く、今後も新たな手法が報告される可能性が高いです。サーバ型のソフトウェアを運用する場合は、脆弱性の対策に細心の注意を払う必要があります。
◆影響を受けるソフトウェア
Windows 10 と Windows 11 が当該手法の影響を受けることを確認していますが、どの程度古いバージョンまで影響を受けるかは確認できていません。
◆解説
Microsoft Windows で、SeImpersonatePrivilege が行使可能なアカウントを用いて、SYSTEM 権限が奪取可能となる手法が公開されています。
公開された手法は、プリンタ関連のサービスの一つである PrintNotify サービスを悪用する手法です。攻撃者は COM オブジェクトなどを介して当該サービスに SYSTEM 権限での認証を強制できるため、認証により SYSTEM 権限のアクセストークンが入手可能です。加えて、SeImpersonatePrivilege が行使可能である場合は、入手したアクセストークンをエクスプロイトコードのプロセスに適用できるため、SYSTEM 権限が奪取できます。
◆対策
SeImpersonatePrivilege が有効なアカウントで稼働しているソフトウェアの脆弱性対策を強化することで、当該手法を悪用されてしまう可能性を低減できます。
◆関連情報
[1] Decoder's Blog
https://decoder.cloud/2022/09/21/giving-juicypotato-a-second-chance-juicypotatong/
◆エクスプロイト
以下の Web サイトにて、当該手法により SYSTEM 権限への昇格を試みるエクスプロイトコードが公開されています。
GitHub - BeichenDream/PrintNotifyPotato
https://github.com/BeichenDream/PrintNotifyPotato/blob/main/Program.cs
//-- で始まる行は筆者コメントです。
Microsoft Windows で、特定の条件を満たすアカウントでの侵入に成功した場合に権限昇格が可能となる手法で SYSTEM 権限を奪取するエクスプロイトコードが公開されています。サーバソフトウェアなどの脆弱性を悪用されて攻撃者に侵入された場合などに、悪用される可能性があります。条件を満たすアカウントで稼働しているソフトウェアの脆弱性への対処により、手法の影響を受ける可能性を低減してください。
◆分析者コメント
当該手法は、SeImpersonatePrivilege が有効化されたアカウントが悪用可能な手法です。Microsoft Windows では、SeImpersonatePrivilege はサーバ型のソフトウェアの実行アカウントで有効化されている場合が多い特権であるため、サーバ型のソフトウェアの脆弱性の悪用により対象システムへの侵入に成功した攻撃者が当該手法を悪用する可能性が高いです。
本手法に類似した手法はこれまでにも複数通り報告されており、Microsoft により対策される場合がありますが、権限昇格の手法としての注目度が高く、今後も新たな手法が報告される可能性が高いです。サーバ型のソフトウェアを運用する場合は、脆弱性の対策に細心の注意を払う必要があります。
◆影響を受けるソフトウェア
Windows 10 と Windows 11 が当該手法の影響を受けることを確認していますが、どの程度古いバージョンまで影響を受けるかは確認できていません。
◆解説
Microsoft Windows で、SeImpersonatePrivilege が行使可能なアカウントを用いて、SYSTEM 権限が奪取可能となる手法が公開されています。
公開された手法は、プリンタ関連のサービスの一つである PrintNotify サービスを悪用する手法です。攻撃者は COM オブジェクトなどを介して当該サービスに SYSTEM 権限での認証を強制できるため、認証により SYSTEM 権限のアクセストークンが入手可能です。加えて、SeImpersonatePrivilege が行使可能である場合は、入手したアクセストークンをエクスプロイトコードのプロセスに適用できるため、SYSTEM 権限が奪取できます。
◆対策
SeImpersonatePrivilege が有効なアカウントで稼働しているソフトウェアの脆弱性対策を強化することで、当該手法を悪用されてしまう可能性を低減できます。
◆関連情報
[1] Decoder's Blog
https://decoder.cloud/2022/09/21/giving-juicypotato-a-second-chance-juicypotatong/
◆エクスプロイト
以下の Web サイトにて、当該手法により SYSTEM 権限への昇格を試みるエクスプロイトコードが公開されています。
GitHub - BeichenDream/PrintNotifyPotato
https://github.com/BeichenDream/PrintNotifyPotato/blob/main/Program.cs
//-- で始まる行は筆者コメントです。
![米 CISA、サプライチェーン安全確保ガイダンス発表/Zoom における 3 つの脆弱性/APT41 の新たなサブグループ「Earth Longzhi」 ほか [Scan PREMIUM Monthly Executive Summary 2022年11月度] 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/39985.jpg)
