Microsoft Windows において特権アカウントが PrintNotify サービスを悪用して SYSTEM 権限への昇格が可能となる手法(Scan Tech Report) | ScanNetSecurity
2023.02.03(金)

Microsoft Windows において特権アカウントが PrintNotify サービスを悪用して SYSTEM 権限への昇格が可能となる手法(Scan Tech Report)

Microsoft Windows で、特定の条件を満たすアカウントでの侵入に成功した場合に権限昇格が可能となる手法で SYSTEM 権限を奪取するエクスプロイトコードが公開されています。

脆弱性と脅威
Microsoft Windows において特権アカウントが PrintNotify サービスを悪用して SYSTEM 権限への昇格が可能となる手法(Scan Tech Report)
  • Microsoft Windows において特権アカウントが PrintNotify サービスを悪用して SYSTEM 権限への昇格が可能となる手法(Scan Tech Report)
◆概要
 Microsoft Windows で、特定の条件を満たすアカウントでの侵入に成功した場合に権限昇格が可能となる手法で SYSTEM 権限を奪取するエクスプロイトコードが公開されています。サーバソフトウェアなどの脆弱性を悪用されて攻撃者に侵入された場合などに、悪用される可能性があります。条件を満たすアカウントで稼働しているソフトウェアの脆弱性への対処により、手法の影響を受ける可能性を低減してください。

◆分析者コメント
 当該手法は、SeImpersonatePrivilege が有効化されたアカウントが悪用可能な手法です。Microsoft Windows では、SeImpersonatePrivilege はサーバ型のソフトウェアの実行アカウントで有効化されている場合が多い特権であるため、サーバ型のソフトウェアの脆弱性の悪用により対象システムへの侵入に成功した攻撃者が当該手法を悪用する可能性が高いです。
 本手法に類似した手法はこれまでにも複数通り報告されており、Microsoft により対策される場合がありますが、権限昇格の手法としての注目度が高く、今後も新たな手法が報告される可能性が高いです。サーバ型のソフトウェアを運用する場合は、脆弱性の対策に細心の注意を払う必要があります。

◆影響を受けるソフトウェア
 Windows 10 と Windows 11 が当該手法の影響を受けることを確認していますが、どの程度古いバージョンまで影響を受けるかは確認できていません。

◆解説
 Microsoft Windows で、SeImpersonatePrivilege が行使可能なアカウントを用いて、SYSTEM 権限が奪取可能となる手法が公開されています。

 公開された手法は、プリンタ関連のサービスの一つである PrintNotify サービスを悪用する手法です。攻撃者は COM オブジェクトなどを介して当該サービスに SYSTEM 権限での認証を強制できるため、認証により SYSTEM 権限のアクセストークンが入手可能です。加えて、SeImpersonatePrivilege が行使可能である場合は、入手したアクセストークンをエクスプロイトコードのプロセスに適用できるため、SYSTEM 権限が奪取できます。

◆対策
 SeImpersonatePrivilege が有効なアカウントで稼働しているソフトウェアの脆弱性対策を強化することで、当該手法を悪用されてしまう可能性を低減できます。

◆関連情報
[1] Decoder's Blog
  https://decoder.cloud/2022/09/21/giving-juicypotato-a-second-chance-juicypotatong/

◆エクスプロイト
 以下の Web サイトにて、当該手法により SYSTEM 権限への昇格を試みるエクスプロイトコードが公開されています。

  GitHub - BeichenDream/PrintNotifyPotato
  https://github.com/BeichenDream/PrintNotifyPotato/blob/main/Program.cs

//-- で始まる行は筆者コメントです。
《株式会社ラック デジタルペンテスト部》

編集部おすすめの記事

特集

脆弱性と脅威 アクセスランキング

  1. Androidアプリ「スシロー」に情報漏えいの脆弱性

    Androidアプリ「スシロー」に情報漏えいの脆弱性

  2. 富士フイルムビジネスイノベーション製のドライバー配布ツールに脆弱性

    富士フイルムビジネスイノベーション製のドライバー配布ツールに脆弱性

  3. Proofpoint Blog 第21回「夢は(オマエの財布から)ガッポリ、北朝鮮の“スタートアップ”APT「TA444」とは?」

    Proofpoint Blog 第21回「夢は(オマエの財布から)ガッポリ、北朝鮮の“スタートアップ”APT「TA444」とは?」

  4. Zoom に複数の脆弱性

  5. 「WhatsApp」の通知を装うスパムメールを確認、標的はモバイル端末(トレンドマイクロ)

  6. Apache HTTP Server 2.4に複数の脆弱性

  7. 「フォートナイト バトルロイヤル」の不正ツールにスパイウェアが混入

  8. PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

  9. Android アプリ「Hulu」に外部サービスの API キーがハードコードされている問題

  10. Mandiant Blog 第10回「Windows環境のEDR終了させる悪質ドライバ ~ 証明署名付きマルウェアの追跡」

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×