2024/10/09 SecurityOnline — Palo Alto Networks の GlobalProtect MSI インストーラーに存在する、深刻なローカル権限昇格の脆弱性 CVE-2024-9473 が、SEC Consult Vulnerability Lab の Michael Baer により発見された。この脆弱性の悪用に成功した低権限のローカル攻撃者は、影響を受けるマシン上でシステム・レベルのアクセス権を取得するため、重大なセキュリティ・リスクが生じることになる。
脆弱性は CVE-2024-9473 は、GlobalProtect の MSI インストーラーに存在する。Baer の調査結果によると、MSI ファイルにより GlobalProtect が インストールされるときに、この問題が発生するという。権限の低いユーザーであっても、User Account Control (UAC) プロンプトを必要とすることなくインストーラーを起動し、この問題をトリガーできる。なんらかの修復プロセス中に、PanVCrediChecker.exe というサブ・プロセスがシステム権限で実行され、プログラム・ファイル・ディレクトリに存在するファイル libeay32.dll とインタラクションする。
Baer は、「このプロセスにより、重大なセキュリティ・ホールが開く。GlobalProtect MSI インストーラー・ファイルのコンフィグレーションにより、”msiexec.exe” の修復機能を使用する際に、SYSTEM ユーザーとして実行される “conhost.exe” ウィンドウが生成されることが判明した。それにより、攻撃者は SYSTEM レベルのコマンド・プロンプトを開いてシステムを操作し、マシンを完全に制御できるようになる。
このエクスプロイトのプロセスは、驚くほど単純である。攻撃者は、マシン上の MSI インストーラー・ファイルを見つけ出し、修復プロセスをトリガーできる。Google Project Zero のツール SetOpLock.exe を活用することで、修復中にアクセスされる libeay32.dll に対して、攻撃者はロックをかけることが可能になる。
Baer は、「特定の時点で、ロックを慎重に解除して保持することで、攻撃者は “conhost.exe” ウィンドウを開け続け、権限昇格を達成する。PanVCrediChecker.exe の実行時に開かれる “conhost” ウィンドウは閉じられず、その後に操作できるようになる。最後のステップでは、ブラウザからシステム・レベルのコマンド・プロンプトを開き、”cmd.exe” を実行する」と付け加えている。
彼の分析により、GlobalProtect における複数バージョンに脆弱性が存在することが判明した。このテストでが、バージョン 5.1.5/5.2.10/6.1.2 を対象にして実施されたが、6.2.5 未満のバージョンが影響を受けることを、Palo Alto Networks は確認している。ただし、バージョン 5.2.x は、サポート終了に達しており、パッチは提供されない。影響を受けるバージョンを運用しているユーザーに強く推奨されるのは、バージョン 6.2.5 へと直ちにアップグレードし、リスクを軽減することだ。
MSI インストーラーは、なにかと問題が多い感じがしますね。Palo Alto 側で対処し、脆弱性は FIX されましたが、このインストーラーには不安が残りますね。なお、同じ 10月9日付で、「Palo Alto Networks の複数の脆弱性が FIX:組み合わせによる悪用を証明する PoC」という記事もポストされていますので、Palo Alto で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.