Hackers Exploit Privilege Escalation Flaw on Windows Backup Service
2023/02/21 InfoSecurity — Windows の Backup and Restore サービスに存在する、権限昇格の脆弱性 CVE-2023-21752 が、脅威アクターたちに悪用されていることが確認された。CloudSEK の研究者たちは、「この脆弱性の悪用に成功したベーシック・ユーザーは、Windows Backup and Restore サービスから指定したストレージパスを介して、ホスト上で任意のコード実行することでファイルの削除が可能になる。このアクションは、特権を持つユーザーのみが実行できるものだ」と述べている。
さらに、この脆弱性はホスト上で、ベーシック・ユーザーからシステム・ユーザーへの権限昇格を許してしまうため、アカウントの乗っ取りに悪用される可能性もある。
CloudSEK のアドバイザリには、「この脆弱性は、認証処理に続いて行われる、テンポラリ・ファイルの作成/削除の間の競合状態に起因している。そして、悪用に必要な条件となるのは、標的となるシステムのローカル・アカウントを持っていることだ」と記されている。
この脆弱性は CVSS スコアが 7.1 であり、Windows OS 7/10/11 に影響する。Microsoft は、2023年1月の Patch Tuesday でパッチを適用しており、0patch も、別の修正パッチを 1月31日にリリースしている。0patch のセキュリティ研究者たちは、「我々のマイクロパッチは、論理的には Microsoft のものと同じだ。しかし、その複雑さとコードサイズを最小限に抑えるために、テンポラリ・ファイルの名前をよりシンプルなものにした。これは、同時に同じパスを使用する複数のバックアップ・プロセスに対応するためだ」と述べている。
また、CloudSEK は、「ロシア語圏のサイバー犯罪フォーラムや Telegram チャンネルで、この脆弱性について議論している脅威アクターたちを発見した」と、アドバイザリで述べている。
同社が発見/共有した Telegram の投稿には、「1月10日に、Windows Backup and Restore で、まったく新しい脆弱性が発見された。この脆弱性により、ユーザーレベルからのローカル権限昇格が簡単に実行できる」と書かれている。
この CloudSEK のアドバイザリは、Microsoft が3つのゼロデイを含む 70以上の CVE に対するパッチを、今月中にリリースすると発表した数日後に発表されたものだ。
バックアップ・サービスは、さまざまなファイルへのアクセス権限を持っているため、その脆弱性が突かれると大きな被害にいたる恐れがあります。すでに、2023年1月の Patch Tuesday で対応済みとのことなので、Windows OS 7/10/11 をお使いの方は、ご確認ください。2022/10/24 には、Veeam Backup & Replication でも、深刻な脆弱性が発見されましたが、これも CloudSEK が発見したようです。
IoT OT Security News 
You must be logged in to post a comment.