◆概要
2023 年 7 月に修正された、Microsoft Windows OS での権限昇格が可能となる脆弱性のエクスプロイトコードが公開されています。脆弱な OS への侵入に成功した攻撃者は、当該脆弱性の悪用により、任意のプログラムを SYSTEM 権限で実行可能です。セキュリティ更新プログラムの適用により対策してください。
◆分析者コメント
脆弱性は容易に悪用可能なものであり、現実の攻撃者グループによる悪用が報告されています。セキュリティ更新プログラムの適用により、早急な対策が求められます。
◆深刻度(CVSS)
[CVSS v3.1]
7.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2023-36874&vector=AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=Microsoft%20Corporation
◆影響を受けるソフトウェア
以下のバージョンの Microsoft Windows OS が当該脆弱性の影響を受けると報告されています。
* Windows 10 Version 1507 - 22H2
* Windows 11 Version 21H2 - 22H2
* Windows Server 2008 - 2022
◆解説
Microsoft Windows OS において、プログラムの動作不良に関する報告機能である Windows Error Reporting サービスに存在する権限昇格の脆弱性が報告されています。
脆弱性は、Windows Error Reporting サービスのレポート作成処理の論理的不備に起因するものです。脆弱性が存在する Windows Error Reporting サービスでは、Administrators グループに所属していないアカウントからレポートの作成を要求された際のシンボリックリンク検証に不備があるため、悪意のあるシンボリックリンクの配置により、意図していないディレクトリに配置された wermgr.exe ファイルを実行してしまいます。Administrators グループに所属していない一般権限アカウントでの侵入に成功した攻撃者は、当該脆弱性を悪用して SYSTEM 権限で任意のプログラムを実行させることが可能となります。
◆対策
2023 年 7 月分のセキュリティ更新プログラムを適用してください。
◆関連情報
[1] Microsoft 公式
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2023-36874
[2] CrowdStrike
https://www.crowdstrike.com/blog/falcon-complete-zero-day-exploit-cve-2023-36874/
[3] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2023-36874
[4] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-36874
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用して管理者権限アカウントの追加を試みるエクスプロイトコードが公開されています、
GitHub - Wh04m1001/CVE-2023-36874
https://github.com/Wh04m1001/CVE-2023-36874
//-- で始まる行は執筆者によるコメントです。
2023 年 7 月に修正された、Microsoft Windows OS での権限昇格が可能となる脆弱性のエクスプロイトコードが公開されています。脆弱な OS への侵入に成功した攻撃者は、当該脆弱性の悪用により、任意のプログラムを SYSTEM 権限で実行可能です。セキュリティ更新プログラムの適用により対策してください。
◆分析者コメント
脆弱性は容易に悪用可能なものであり、現実の攻撃者グループによる悪用が報告されています。セキュリティ更新プログラムの適用により、早急な対策が求められます。
◆深刻度(CVSS)
[CVSS v3.1]
7.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2023-36874&vector=AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=Microsoft%20Corporation
◆影響を受けるソフトウェア
以下のバージョンの Microsoft Windows OS が当該脆弱性の影響を受けると報告されています。
* Windows 10 Version 1507 - 22H2
* Windows 11 Version 21H2 - 22H2
* Windows Server 2008 - 2022
◆解説
Microsoft Windows OS において、プログラムの動作不良に関する報告機能である Windows Error Reporting サービスに存在する権限昇格の脆弱性が報告されています。
脆弱性は、Windows Error Reporting サービスのレポート作成処理の論理的不備に起因するものです。脆弱性が存在する Windows Error Reporting サービスでは、Administrators グループに所属していないアカウントからレポートの作成を要求された際のシンボリックリンク検証に不備があるため、悪意のあるシンボリックリンクの配置により、意図していないディレクトリに配置された wermgr.exe ファイルを実行してしまいます。Administrators グループに所属していない一般権限アカウントでの侵入に成功した攻撃者は、当該脆弱性を悪用して SYSTEM 権限で任意のプログラムを実行させることが可能となります。
◆対策
2023 年 7 月分のセキュリティ更新プログラムを適用してください。
◆関連情報
[1] Microsoft 公式
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2023-36874
[2] CrowdStrike
https://www.crowdstrike.com/blog/falcon-complete-zero-day-exploit-cve-2023-36874/
[3] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2023-36874
[4] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-36874
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用して管理者権限アカウントの追加を試みるエクスプロイトコードが公開されています、
GitHub - Wh04m1001/CVE-2023-36874
https://github.com/Wh04m1001/CVE-2023-36874
//-- で始まる行は執筆者によるコメントです。
![AI アプリ標的 ゼロクリックワーム開発/北 韓国半導体企業へ攻撃/米司法省 APT31 メンバー訴追 ほか [Scan PREMIUM Monthly Executive Summary 2024年3月度]](/imgs/p/U2LJXeJbJ084VMuUElAEPG8JUgdcBQQDAgEA/44553.jpg)
![AI アプリ標的 ゼロクリックワーム開発/北 韓国半導体企業へ攻撃/米司法省 APT31 メンバー訴追 ほか [Scan PREMIUM Monthly Executive Summary 2024年3月度]](/imgs/p/-o8hUiIkCj_ci7ffBUQ5xjkJUgdcBQQDAgEA/44553.jpg)
