Microsoft Windows における任意のディレクトリの作成が可能な場合に特権を昇格する手法(Scan Tech Report) | ScanNetSecurity
2023.02.03(金)

Microsoft Windows における任意のディレクトリの作成が可能な場合に特権を昇格する手法(Scan Tech Report)

Microsoft Windows で、高権限で任意のディレクトリが作成可能な状況下で特権が昇格可能であることを実証するためのエクスプロイトコードが公開されています。

脆弱性と脅威 エクスプロイト
◆概要
 Microsoft Windows で、高権限で任意のディレクトリが作成可能な状況下で特権が昇格可能であることを実証するためのエクスプロイトコードが公開されています。Windows OS では高い権限でファイルやディレクトリの操作が可能である場合に特権昇格につながるため、手法の存在や原理を理解して、日頃の脆弱性対策に活用しましょう。

◆分析者コメント
 Windows OS では、OS の機能の豊富さなどにより、ファイルやディレクトリの作成、上書き、削除などの操作が高い権限で実行可能な場合に、昇格した権限でのコード実行が可能になります。ファイルやディレクトリの操作であっても高い権限でのコード実行につながるということを認識して、日頃の脆弱性対策に努めましょう。

◆影響を受けるソフトウェア
 OS の機能面の観点から、少なくとも Windows 10 とそれより新しいバージョンでは該当する脆弱性があった場合に当該手法が悪用可能です。

◆解説
 Microsoft Windows で、高権限でのディレクトリ作成の脆弱性が存在した場合に、特権が昇格可能であることを実証するためのエクスプロイトコードが公開されています。

 Microsoft Windows では、OS の豊富な機能を悪用して、低い権限のアカウントが高い権限でのファイルとディレクトリの操作が可能である状況では、DLL Hijack などにより高権限でのコード実行が可能です。本記事で取り上げているエクスプロイトコードは、低い権限のアカウントが C:\Windows\System32 ディレクトリの配下にディレクトリが作成可能な脆弱性が存在する状況を仮定しています。Windows OS では C:\Windows\System32 配下に特定のディレクトリとファイルが存在する場合は、SYSTEM 権限で稼働する OS の管理プロセスが DLL を読み込むという実装であるため、DLL Hijack による高権限でのコード実行が可能です。いくつか同様の手法が可能となる経路が存在しますが、本記事では Windows Error Reporting サービスに対する DLL Hijack で特権昇格が可能となる手法を取り上げています。

◆対策
 Windows OS では、高い権限でのファイルとディレクトリの操作により SYSTEM 権限でのコード実行が可能であるため、Windows OS 自体のみではなく、高い権限で動作するソフトウェアの脆弱性のアップデートを適宜実行するように日頃から心がけて対策することを推奨します。

◆関連情報
[1] GitHub - sailay1996/awesome_windows_logical_bugs
  https://github.com/sailay1996/awesome_windows_logical_bugs/blob/master/dir_create2system.txt

◆エクスプロイト
 以下の Web サイトにて、当該手法により SYSTEM 権限への昇格を試みるエクスプロイトコードが公開されています。

  GitHub - BeichenDream/PrintNotifyPotato
  https://github.com/binderlabs/DirCreate2System

//-- で始まる行は筆者コメントです。

《株式会社ラック デジタルペンテスト部》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×