Inside CVE-2024-20656: PoC Exploit Threatens Visual Studio Security
2024/01/14 SecurityOnline — Microsoft Visual Studio の脆弱性 CVE-2024-20656 (CVSS:7.8)については、すでにパッチが適用されているが、悪用に関する詳細と PoC エクスプロイト・コードも明らかになっている。この脆弱性は、影響を受けるシステム上で昇格された権限を、脅威アクターが取得するために悪用される可能性がある。
Visual Studio の診断目的で使用され、また、NT AUTHORITYSYSTEM コンテキストで実行される、VSStandardCollectorService150 サービスにおける特権昇格のバグは、懸念すべきものである。
Microsoft は、「この脆弱性の悪用に成功した攻撃者は、SYSTEM 権限を獲得する可能性がある」と、2024年1月の Patch Tuesday アドバイザリで明らかにしている。セキュリティ研究者 Filip Dragovic が、この欠陥を発見し報告したとされている。
CVE-2024-20656 は単なるシステムのバグではなく、VSStandardCollectorService150 サービスに存在する特権昇格の脆弱性である。このサービスは、Visual Studio の診断に不可欠なものであり、きわめて特権的な NT AUTHORITYSYSTEM コンテキストで実行される。
PoC を公開した Filip Dragovic は、「脆弱性 CVE-2024-20656 は、Visual Studio の診断目的で使用され、また、NT AUTHORITYSYSTEM コンテキストで実行される VSStandardCollectorService150 サービスは、特権へとエスカレートさせるために任意のファイルの DACL リセットを実行する。そこに、悪用の可能性が生じるという事実に根ざしている」と述べている。
この脆弱性の悪用は、VSStandardCollectorService150 がファイルを書き込むダミー・ディレクトリの作成から始まる。続いて行われるのは、ジャンクション・ディレクトリの作成/サービスの起動/シンボリック・リンクの操作などの、一連の計算された操作である。最後の一撃は、クリティカルなバイナリを悪意のバージョンに置き換え、SYSTEM シェルを攻撃者に与えるというものだ。この PoC エクスプロイト・コードは 、Github で入手可能である。
Microsoft は、この問題の重大性を理解し、2024年1月の Patch Tuesday の一部としてパッチを発行した。しかし、Visual Studio のように広く使われている IDE に、このような欠陥が存在することを考えてほしい。特に高度な機密性が要求される環境での使用を考えると、ソフトウェアのセキュリティに対する疑問が浮かび上がってくる。
Visual Studio の脆弱性 CVE-2024-20656 に、PoC エクスプロイトとのことです。この脆弱性は、2024年1月の Patch Tuesday で対処されています。最近の関連情報としては、2023/11/21 の「Visual Studio の RCE 脆弱性 CVE-2023-36742:PoC エクスプロイトが公開」があります。よろしければ、Visual Studio で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.