CISA Warns of Windows Streaming Service Vulnerability Exploitation
2024/03/01 SecurityWeek — 2月29日 (木) に、米国の CISA が公表したのは、Microsoft Streaming Service に存在する特権昇格の深刻な脆弱性が、野放し状態で活発に悪用されていることを受けて、Known Exploited Vulnerabilities catalog に追加したという警告である。このストリーミング・サービスは、Windows に不可欠なシステム・サービスであり、マルチメディア/ゲーム/ビデオ会議などのソフトウェア向けに、ネットワーク経由でオーディオ/ビデオのストリーミングを提供するものだ。
この脆弱性 CVE-2023-29360 (CVSS:8.4) は、Windows 10/11 および、Windows Server 2016/2019/2022 において、2023年6月にパッチが適用されている。しかし、パッチ未適用のケースでは、悪用に成功した攻撃者が、脆弱なマシン上でシステム特権を得る可能性が生じる。
CISA KEV カタログには、「Microsoft Streaming Service に存在する、信頼されていないポインタ再参照の脆弱性の悪用に成功した、ローカルの攻撃者は権限の昇格を可能とし、System 権限を得ることが可能になる」と記されている。
その一方で CISA は、脆弱性 CVE-2023-29360 の悪用に関する情報は提供せず、ランサムウェア・グループによる標的化の証拠はないと指摘している。また、2023年6月時点での Microsoft アドバイザリには、このバグは悪用されていないと記されていた。
ただし、この脆弱性 CVE-2023-29360 を悪用し、MSKSSRV.SYSドライバ (Microsoft Kernel Streaming Server 関連のシステムファイル) を標的とする PoC コードは、約 6カ月前から利用可能になっている。
PoC が公開され、CISA が行動を起こしたが、この脆弱性の悪用に関する他の報告は、これまでのところ共有されていない。
新たなセキュリティ・ホールが KEV リストに追加されると、米国連邦政府機関は、拘束的運用指令 (BOD) 22-01で規定されているように、3週間以内に脆弱な資産を特定し、パッチを当てる必要がある。この CVE-2023-29360 のケースでは、その期限が 3月21日となっている。
CISA は、KEV カタログに記載された脆弱性に対しては、速やかに利用可能なパッチを適用すべきだと促している。そして、問題の放置は、すべてのユーザー組織に対して、深刻な侵害のリスクをもたらすと警告している。
SecurityWeek では、CVE-2023-29360 の悪用について、Microsoft に電子メールでコメントを求めている。回答が届き次第、この記事を更新する。
この脆弱性 CVE-2023-29360 にういて、お隣のキュレーション・チームに聞いてみたところ、2023年6月14日付で報告しているとのことでした。そして、今回の CISA KEV を受けて、再報告したと言っていました。よろしければ、CISA KEV ページも、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.