2024/12/02 SecurityOnline — Windows タスク・スケジューラに存在する、ゼロデイ脆弱性 CVE-2024-49039 (CVSS:8.8) に対する PoC エクスプロイト・コードが公開され、攻撃の増加が懸念されている。この脆弱性の悪用に成功した攻撃者は、特権を昇格させ、より高い整合性レベルでコードを実行することが可能になる。
脆弱性の詳細:
タスクのスケジュールと自動化を担う重要なコンポーネントである、Windows タスク・スケジューラの中に、脆弱性 CVE-2024-49039 は存在する。この脆弱性を悪用する攻撃者は、セキュリティ制限の回避と特権を昇格を達成し、任意のコード実行の可能性を得る。さらに、システム内で足場を構築し、完全な制御を奪う可能性もある。
実環境での悪用
11月26日の ESET のブログ投稿によると、脅威アクター RomCom の最近のキャンペーンにおいて、脆弱性 CVE-2024-49039 の積極的な悪用が確認されている。欧州/北米の Firefox/Tor Browser ユーザーを標的とする攻撃では、この脆弱性と、Firefox のゼロデイ脆弱性 CVE-2024-9680 を組み合わせることで、ブラウザのサンドボックス外でのコード実行を実現されている。
技術的分析
Windows 10 バージョン 1507 以降のタスク・スケジューラにおいて、不可欠なコンポーネントである WPTaskScheduler.dll の欠陥に、この脆弱性が起因している可能性が高い。この脆弱性を悪用する攻撃者は、制限付きトークン・サンドボックスや、子プロセス制限などのセキュリティ対策を回避し、実質的な権限を Medium 整合性レベルへと昇格できることが、分析により示唆されている。
PoC の公開と影響
脆弱性 CVE-2024-49039 がもたらすリスクは、PoC コードが Github 上で公開されたことで、さらに高まっている。ユーザーや組織に求められるのは、潜在的な脅威を軽減するための早急な対応だ。
緩和策
すでに Microsoft は、November 2024 Patch Tuesday の一環で、この脆弱性に対応している。ユーザーに推奨されるのは、可能な限り早急に、この更新プログラムを適用し、システムを保護することである。さらに、このような攻撃の被害に遭うことを防ぐために、ソフトウェアを最新の状態に保ち、不審なメールや不明なリンクに対して、注意を払うことも重要だ。
この 脆弱性 CVE-2024-49039 ですが、2024/11/26 の「RomCom が展開する攻撃チェーン:Firefox の CVE-2024-9680 と Windows CVE-2024-49039 を悪用」に記されているように、RomCom による積極的な悪用が報告されています。したがって、今日の記事は、そこに PoC が加わったことを伝えるものだと思います。よろしければ、RomCom で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.