YubiKey Manager Flaw (CVE-2024-31498): Patch Now To Prevent Admin Privilege Escalation on Windows
2024/04/04 SecurityOnline — Yubico が公開したのは、GUI ソフトウェア YubiKey Manager に存在する脆弱性に対する、セキュリティ・アドバイザリおよびパッチ (バージョン 1.2.6) である。この脆弱性 CVE-2024-31498 (CVSS:7.7) を、特定の条件下で悪用する攻撃者は、Windowsシステム上で昇格した特権を悪用する可能性を持つ。
脆弱性
- 権限の昇格が必要:Windows 上で YubiKey の FIDO 認証機能を管理するには、YubiKey Manager GUI を、管理者権限で実行する必要がある。それは、Microsoft による制限である。
- 危険な継承:YubiKey Manager GUI が、Admin 権限でデフォルトの Web ブラウザを起動すると、その Web ブラウザが昇格した権限を継承する可能性が生じる。したがって、ローカルの攻撃者が、Web ブラウザ内の Admin 権限でアクションを実行する可能性が出てくる。
- Web ブラウザの問題: Microsoft Edge のような一部の Web ブラウザには、この権限昇格エクスプロイトのリスクを軽減する、緩和策が組み込まれている。
影響を受ける人々
以下の条件を、すべてを満たす場合に影響が生じる:
- オペレーティング・システム: Windows を使用している。
- ソフトウェア: YubiKey Manager GUI のバージョン 1.2.6 以前を使用している。
- デフォルトの Web ブラウザ: デフォルトとして Microsoft Edge 以外を使用している。
推奨事項
直ちにアップデート:
- Yubico の Web サイトまたは GitHub から、YubiKey Manager GUI の最新バージョン (1.2.6以降) をインストールする。
回避策 (直ちにアップデートできない場合):
- YubiKey Manager の使用量を減らす:YubiKey Manager GUI の使用を、必要な場合 (FIDO 機能) にのみ限定し、管理者として実行する。
- Edge に切り替える:一時的に、Microsoft Edge をデフォルト Web ブラウザにすることで、このエクスプロイトに対する保護機能を利用できる。
対応が重要な理由
管理者レベルのアクセス権が攻撃者に侵害されると、システムに対する広範なコントロールが与えられてしまう。この脆弱性を悪用するには、特定の状況が必要であるが、ローカル攻撃のエスカレーションや、Web ブラウザ・ベースの攻撃が、増幅される可能性がある。
Windows から、デフォルトの Web ブラウザへと、Admin 権限が継承されてしまう問題とのことです。Edge の場合には、そのような問題は起こらないとのことですが、Chrome や Firefox などを使用しているユーザーは、要注意です。とても珍しい’タイプの脆弱性ですが、他でも、この種の権限継承があるのではないかと、ちょっと心配になってしまいますね。よろしければ、Authn Authz で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.