◆概要
2024 年 4 月に公開された、Windows OS にて管理者権限の奪取が可能となる脆弱性を悪用するエクスプロイトコードが公開されています。脆弱性が存在する Windows OS への侵入に成功した攻撃者に当該脆弱性を悪用されると、OS の全権限を掌握されてしまいます。セキュリティ更新プログラムの適用により対策してください。
◆分析者コメント
脆弱性を悪用して権限昇格するまでに至る手順は複雑ではありませんが、マルウェアなどにより GUI が操作できない状態で対象ホストに侵入している攻撃者の場合、端末の利用者がプロフィール画像を変更する操作を待たなければいけません。プロフィール画像を変更するような操作は、実際には滅多に発生するものではないため、GUI が操作できない状態での侵入にのみ成功している攻撃者がこの脆弱性を悪用するのは困難ですが、そうでない場合は SYSTEM 権限の奪取が容易に可能な脆弱性であるため、セキュリティ更新プログラムの適用による対策を推奨します。
◆深刻度(CVSS)
[CVSS v3.1]
7.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2024-21447&vector=AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=Microsoft%20Corporation
◆影響を受けるソフトウェア
Windows 11 のバージョン 23H2 およびそれよりも古い Windows OS が当該脆弱性の影響を受けると報告されています。
◆解説
Microsoft Windows OS に、SYSTEM 権限への昇格が可能となる、ファイルの特権操作時の不備に起因する脆弱性が報告されています。
脆弱性は、コントロールパネルなどからユーザ情報を管理するために用いられる User Manager サービスに存在します。当該サービスでは、ユーザのプロフィール画像を変更する際に、一般権限アカウントでの操作が可能なディレクトリで、SYSTEM 権限でコピー操作(読み取り/書き込み操作)を実行するため、攻撃者はその際にコピー操作されるファイルのディレクトリをリンクファイルに差し替えることで、管理者にのみ操作が許されていないファイルの上書きや作成が可能となります。
◆対策
Microsoft から配布されている 2024 年 4 月分のセキュリティ更新プログラムを適用してください。
◆関連情報
[1] Microsoft 公式
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21447
[2] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2024-21447
[3] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-21447
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用して SYSTEM 権限の奪取を試みるエクスプロイトコードが公開されています。
GitHub - Wh04m1001/UserManagerEoP
https://github.com/Wh04m1001/UserManagerEoP/tree/main/UserManager_Expl
//-- で始まる行は執筆者によるコメントです。
2024 年 4 月に公開された、Windows OS にて管理者権限の奪取が可能となる脆弱性を悪用するエクスプロイトコードが公開されています。脆弱性が存在する Windows OS への侵入に成功した攻撃者に当該脆弱性を悪用されると、OS の全権限を掌握されてしまいます。セキュリティ更新プログラムの適用により対策してください。
◆分析者コメント
脆弱性を悪用して権限昇格するまでに至る手順は複雑ではありませんが、マルウェアなどにより GUI が操作できない状態で対象ホストに侵入している攻撃者の場合、端末の利用者がプロフィール画像を変更する操作を待たなければいけません。プロフィール画像を変更するような操作は、実際には滅多に発生するものではないため、GUI が操作できない状態での侵入にのみ成功している攻撃者がこの脆弱性を悪用するのは困難ですが、そうでない場合は SYSTEM 権限の奪取が容易に可能な脆弱性であるため、セキュリティ更新プログラムの適用による対策を推奨します。
◆深刻度(CVSS)
[CVSS v3.1]
7.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2024-21447&vector=AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=Microsoft%20Corporation
◆影響を受けるソフトウェア
Windows 11 のバージョン 23H2 およびそれよりも古い Windows OS が当該脆弱性の影響を受けると報告されています。
◆解説
Microsoft Windows OS に、SYSTEM 権限への昇格が可能となる、ファイルの特権操作時の不備に起因する脆弱性が報告されています。
脆弱性は、コントロールパネルなどからユーザ情報を管理するために用いられる User Manager サービスに存在します。当該サービスでは、ユーザのプロフィール画像を変更する際に、一般権限アカウントでの操作が可能なディレクトリで、SYSTEM 権限でコピー操作(読み取り/書き込み操作)を実行するため、攻撃者はその際にコピー操作されるファイルのディレクトリをリンクファイルに差し替えることで、管理者にのみ操作が許されていないファイルの上書きや作成が可能となります。
◆対策
Microsoft から配布されている 2024 年 4 月分のセキュリティ更新プログラムを適用してください。
◆関連情報
[1] Microsoft 公式
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21447
[2] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2024-21447
[3] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-21447
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用して SYSTEM 権限の奪取を試みるエクスプロイトコードが公開されています。
GitHub - Wh04m1001/UserManagerEoP
https://github.com/Wh04m1001/UserManagerEoP/tree/main/UserManager_Expl
//-- で始まる行は執筆者によるコメントです。
![裏目に出たサンドボックス/露北軍事同盟/MFAの穴 ほか [Scan PREMIUM Monthly Executive Summary 2024年6月度]](/imgs/p/U2LJXeJbJ084VMuUElAEPG8JUgdcBQQDAgEA/45530.jpg)
