CISA が政府機関にパッチ適用を命令:Windows の深刻な脆弱性 CVE-2022-21882

CISA orders federal agencies to patch actively exploited Windows bug

2022/02/04 BleepingComputer — Cybersecurity and Infrastructure Security Agency (CISA) は、連邦政府機関にパッチの適用を命じることで、攻撃者による SYSTEM 権限を許してしまう、Windows の脆弱性に対処しようとしている。今日の発表と、2021年11月の拘束力のある業務指令 (BOD 22-01) より、すべての連邦民間行政機関 (FCEB:Federal Civilian Executive Branch Agencies) は、2月18日までの2週間以内に、脆弱性 CVE-2022-21882 に関連する、すべてのシステムへのパッチ適用が求められている。

業務司令である BOD 22-01 は FCEB 機関のみに適用されるが、すべての公的/民間機関も採用することで、積極的に悪用されている脆弱性を優先的に緩和し、継続的なサイバー攻撃による曝露を削減することを、CISA は強く求めている。

今日 CISA は、「この脆弱性が、脅威アクターにより積極的に悪用されているという証拠に基づき、既知の悪用されている脆弱性カタログに、新たに1の項目として追加した。この種の脆弱性は、あらゆる種類の脅威アクターが頻繁に利用する攻撃経路であり、連邦企業に重大なリスクをもたらしている」と述べている。

攻撃者は、Win32k のローカル特権昇格の脆弱性を悪用した後に、新たに取得したユーザー権限を用いて、ネットワーク内での横展開や、新しい管理者の作成といった、特権的なコマンドの実行を可能にする。

Microsoft のアドバイザリによると、「ローカルで認証された攻撃者が、Win32k.sys ドライバの脆弱性を介して、ローカル・システムでの管理者権限を取得できる」とのことだ。この脆弱性は、January 2022 Patch Tuesday の更新プログラムを適用していない、Windows 10 1909以降/Windows 11/Windows Server 2019 以降を実行しているシステムに影響する。

また、このバグは、2021年2月にパッチが適用された、別のゼロデイ脆弱性である、Windows Win32k 特権昇格バグ (CVE-2021-1732) のバイパスであり、2020年の夏以降に積極的に悪用されている。

BleepingComputer は、この脆弱性をターゲットにしたエクスプロイトもテストしており、それを使って Windows 10 SYSTEM 権限で、問題なくメモ帳を開くこができた (このエクスプロイトは Windows 11 では動作しなかった)。

この CISA の警告は、January 2022 Patch Tuesday の重大なバグを回避するために、多くの管理者がアップデートをスキップしたことを考えると、タイミングの良いものだと言える。これらの既知の問題には、想定外の再起動/L2TP VPN の問題/アクセスできない ReFS ボリューム、および、1月17日の緊急アップデートで対処された Hyper-V の問題などが含まれる。

これらのパッチを適用しなかった場合、ネットワーク上のデバイスが無防備な状態になり、Microsoft が深刻度の高い脆弱性として指定している、この欠陥を悪用した攻撃に対して脆弱になる。

脆弱性 CVE-2022-21882 ですが、お隣のキュレーション・チームに確認したところ、1月12日に Microsoft Windows Server 2022/2019 および Windows 11/10 で、権限昇格の脆弱性が発生したとしてレポートしたとのことです。また 2月1日には、複数のエクスプロイトが公開されたということで、レポートを再掲載したとのことです。いずれも、CVSS 値は 7.8 です。CISA が、BOD 22-01 に追加したということは、それなりに理由があるのでしょう。

%d bloggers like this: