Windows Installer のゼロデイ脆弱性:マルウェアの試験運用が始まっている

Malware now trying to exploit new Windows Installer zero-day

2021/11/23 BleepingComputer — この週末に、セキュリティ研究者の Abdelhamid Naceri が公開した、Microsoft Windows Installer のゼロデイを標的にした PoC エクスプロイトだが、すでにマルウェア作成者たちによりテストが開始されている。Cisco の Talos Security Intelligence & Research Group の Technical Leader であるJaeson Schultz は、「Talos では、この脆弱性を利用しようとするマルウェア・サンプルを、すでに検出している」と述べている。

しかし、Cisco Talos の Head of Outreach である Nick Biasini が BleepingComputer に語ったところによると、これらの悪用の試みは、本格的なキャンペーンを前に試験/調整することを目的とした、少量の攻撃の一部であるとのことだ。

Biasini は BleepingComputer に対して、「調査の過程で、最近のマルウェア・サンプルを調べたところ、すでにこのエクスプロイトを利用しようとしているものが、いくつか見つかった。量が少ないことから、これは、PoC エクスプロイトの運用および、将来のキャンペーンに向けたテストを行っている可能性がある。つまり、一般に公開されているエクスプロイトを武器にしようとする、敵対者の動きの早さを示す証拠に他ならない」と述べている。

Windows Installer のパッチを回避するゼロデイ

問題となっている脆弱性 CVE-2021-41379 に対処するために、Microsoft が 2021年11月の Patch Tuesday で公開した、パッチに対するバイパスとして発見されたローカル特権昇格バグがある。

日曜に Naceri は、この新しいゼロデイに対する PoC エクスプロイトを公開し、サポートされている全バージョンの Windows で動作すると述べている。このバイパスが成功すると、攻撃者は、Windows 10/Windows 11/Windows Server 2022 などの、最新の Windows を搭載したデバイス上で SYSTEM 権限を得ることができる。

SYSTEM 権限は、Windows ユーザーに与えられる最高のユーザー権限であり、OS のあらゆるコマンドを実行することが可能になる。このゼロデイを悪用することで、侵害したシステムへのアクセスが限定されている攻撃者は、特権へと容易に昇格し、被害者のネットワーク内で横方向へと展開していける。

BleepingComputer は、Naceri のエクスプロイトをテストし、低レベルの Standard 権限を持つアカウントから、SYSTEM 権限を持つコマンド・プロンプトを開くことに成功した。

Naceri は、「この脆弱性は複雑である。したがって、この記事を書いている時点で利用可能な最善の回避策は、Microsoft のセキュリティ・パッチを待つことだ。バイナリに対して、直接パッチを当てようとすると、Windows インストーラが壊れてしまう。そのため、Microsoft のパッチを待つほうが良い」と述べている。

Microsoft の広報担当者は、「私たちは、今回の情報公開を認識しており、顧客を安全に保護するために必要なことを行う。説明されている方法を使用する攻撃者は、対象となる被害者のマシン上でコードを実行するための、アクセスと能力を事前に持っている必要がある」と述べている。

この脆弱性 CVE-2021-41379 ですが、11月10日にレポートされていて、月例のアップデートで対応されているようですが、そのパッチがバイパスされてしまうということでしょうか? ちょっと気になる問題です。修正する側も、悪用する側も、複雑な手順を必要とするようなので、本文にあるように、Microsoft の対応を待ち、パッチが出たら直ちに対応するようにしましょう。

%d bloggers like this: