Researchers Release PoC Exploit for Windows XAML Diagnostics EoP Flaw
2024/01/14 SecurityOnline — Windows XAML Diagnostics に存在する、すでにパッチが公開された深刻な脆弱性 CVE-2023-36003 に対して、PoC エクスプロイト・コードが公開された。この脆弱性は、セキュリティ研究者である Michael Maltsev が、2023年7 月に Microsoft に報告したものだ。
この脆弱性 CVE-2023-36003 (CVSS:6.7) は、Windows システム内での特権の昇格に関連するものだと説明されている。Microsoft の2023年12月のアップデートの一部として修正された問題であり、Windows 10/11 の最新ビルドなどを含む、さまざまな Windows バージョンに影響を与えている。
この問題は、InitializeXamlDiagnosticsEx API に起因するものである。この Windows 10 1703 で導入された API は診断目的で設計されている。具体的に言うと、Task Manager や Windows Terminal などの、Extensible Application Markup Language (XAML) を UI 使用している最近のアプリの検査が可能になる。
この脆弱性は、InitializeXamlDiagnosticsEx API 内の、適切なセキュリティ・チェックの欠如に起因する。この脆弱性により、API がサポートするプロセスに対して、昇格していないプロセスによる DLL の注入が許されていた。その結果として、一般ユーザーが SYSTEM 権限を獲得する可能性があるという、憂慮すべきものである。
悪用のシナリオとして挙げられるのは、Windows 11 22H2 の Task Manager や Windows Terminal などの、昇格したプロセスを実行するものである。これらのアプリケーションは、昇格した特権で開かれることが多いため、アクセス・レベルの昇格を狙う攻撃者の格好の標的となっている。
さらに、この脆弱性には、UIAccess プロセスをターゲットにすることで、User Interface Privilege Isolation (UIPI) のバイパスで悪用される可能性がある。この方法は、User Account Control (UAC) のリクエストすら必要としないため、攻撃者に対してステルス的なアプローチを提供してしまう。
Michael Maltsev は、CVE-2023-36003 の具体的な悪用を証明する、PoC エクスプロイト・コードも公開している。この PoC には、短いビデオも含まれ、この脆弱性の悪用方法を洞察するものとなっている。ユーザーに対して推奨されるのは、最新のセキュリティ・パッチでシステムをアップデートすることである。
オペレーティング・システムにおける、権限設定の大変さが分かるというか、想像できるインシデントですね。この脆弱性は、2023年12月の Patch Tuesday で修正されていますが、PoC が公表されましたので、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.