PoC Exploit Published for Windows Kernel Elevation of Privilege Vulnerability (CVE-2024-30088)
2024/06/25 SecurityOnline — Microsoft Windows に存在する、深刻度の高い脆弱性 CVE-2024-30088 (CVSS:7.0) の PoC エクスプロイト・コードが、あるセキュリティ研究者により公開された。この脆弱性は、SYSTEM 権限での任意のコード実行を、攻撃者に許す可能性があり、世界中のシステムに影響を与えるものだ。
この脆弱性は、関数 NtQueryInformationToken 内に存在するものであり、とりわけ AuthzBasepCopyoutInternalSecurityAttributes 関数の処理に起因する。この欠陥は、カーネルがオブジェクトを操作する際の、ロック機構の不適切な管理に起因しており、悪意のエンティティにより、意図しない権限の昇格が実行される可能性を生じる。
この脆弱性は、カーネルから提供される SecurityAttributesList を、ユーザーによるポインタでダイレクトに操作するという、攻撃ベクターを生み出すものである。この問題は、ベトナムのセキュリティ研究者である Bui Quang Hieu (@tykawaii98) により文書化されている。
この不安定な動作は、複数の TOCTOU (Time-of-Check to Time-of-Use) 脆弱性につながり、悪意のスレッドが RtlCopyUnicodeString 関数を呼び出す前に、属性名のバッファ・ポインタを変更する可能性を生じる。このような操作に成功した攻撃者は、制御された値とサイズで、任意のアドレスへの書き込みを許される。
Trend Micro Zero Day Initiative と Emma Kirkpatrick (@carrot_c4k3) により発見された、この脆弱性に対して Microsoft は、2024年6月のセキュリティ更新プログラムで対処している。
Hieu が GitHub で公開しているものには、脆弱性 CVE-2024-30088 に関するレポートだけではなく、PoC エクスプロイト・コードも含まれる 。エクスプロイトのフローを紹介しする彼のデモ動画は、攻撃の仕組みを理解する上で、また、パッチ未適用で放置した場合の潜在的な影響を理解する上で、重要な役割を果たしている。
ターゲット・システム上で、権限の昇格に成功した攻撃者は、データの窃盗/システムの破壊工作/追加のマルウェアの配備などの、さらなる悪意の活動へと発展させる可能性を手にする。
Windows ユーザーに推奨されるのは、CVE-2024-30088 などの脆弱性によるリスクを軽減するために、Microsoft が提供する最新のセキュリティ・パッチを適用することだ。
この TOCTOU (Time-of-Check to Time-of-Use) の脆弱性ですが、MITRE では CWE-367 が割り当てられています。その内容ですが、「リソースを使用する前のチェックの時点と、使用する時点の間で、リソースの状態が変わり、チェックの結果が無効になる場合があり。それにより、リソースが予期しない状態になり、無効なアクションが実行される可能性が生じる。また、セキュリティに関連する場合もあり、ファイル/メモリ/マルチスレッド変数などの、共有リソースで発生する可能性もある」と解説されています。PoC も提供されていますので、6月のアップデートを行っていない方は、ご注意ください。よろしければ、Windows で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.