2024/08/07 SecurityOnline — Windows システム上の更新済みのパッチを逆利用し、以前に修正されたセキュリティ欠陥を再び引き起こす可能性のある、2つのゼロデイ脆弱性 CVE-2024-21302/CVE-2024-38202 が、SafeBreach のセキュリティ研究者 Alon Leviev により、Black Hat 2024 で発表された。
この脅威について
これらの脆弱性は、特定のレベルのアクセス権を持つ攻撃者に対して、カレントのシステム・ファイルを、古くて脆弱なバージョンに置き換えることを許してしまうものだ。それにより、事実上、システムのパッチは解除され、緩和されたはずの攻撃を受けやすくなる。
1つ目の脆弱性 CVE-2024-21302 は、Virtualization Based Security (VBS) をサポートする Windows システムに影響に及ぼすが、その中には、特定の Azure 仮想マシン SKU も含まれる。この脆弱性の悪用に成功した、管理者権限を持つ攻撃者は、カレントの Windows システム・ファイルを古いバージョンに置き換えることが可能になる。この脆弱性を悪用する攻撃者は、古い脆弱性を再び取り込み、VBS のセキュリティ機能を回避し、VBSにより保護されるデータの流出を可能にする。なお、この脆弱性は、セキュリティ・チェックが不十分なために発生する。
2つ目の脆弱性 CVE-2024-38202 は、Windows バックアップ・システムに存在するものであり、基本的なユーザー権限を持つ攻撃者による、古い脆弱性の再導入や、一部の VBS 機能の回避を可能にする。ただし、悪用を成功させる前提として、システムの復元を実行するなどの、特権ユーザーに許された操作が必要となる。
この脆弱性には、管理者または権限を委譲されたユーザーを騙して、以前に緩和された脆弱性を再誘発する状態へと、システムを復元させるという、悪用の形態もあり得る。この悪用は、Windows システムを保護するために意図された、セキュリティ・フレームワークを弱体化させる。
緩和策と対応
すでに Microsoft は、これらの脆弱性の存在を認め、緩和策を記載したアドバイザリをリリースしている。ただし、完全なパッチについては、現時点では開発中であり、テスト中であるという。
このパッチが提供されるまでの間において、以下の Microsoft による推奨事項 [1,2] が、ユーザー組織に対して提供されている:
- CVE-2024-21302: ファイル・アクセスおよび機密特権の使用を監視するために監査設定を構成し、Azure Active Directory のリスク・レポートで疑わしいアクティビティを確認する。
- CVE-2024-38202: バックアップとリストアの権限を持つユーザーを監査し、バックアップ・ファイルへのアクセスを制限し、不正な変更を監視する。
カレントのシステム・ファイルを古いものに戻してしまうという、とても珍しい脆弱性が発見されました。この2つの脆弱性自体の悪用事例や PoC は存在しないようですが、ここが突破されると、これまでの多種多様な攻撃手法が生き返ると推測されますので、とても気になります。よろしければ、Windows で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.