Windows CLFS のゼロデイ脆弱性 CVE-2024-49138 が FIX：悪用も確認

Microsoft fixes exploited zero-day (CVE-2024-49138)

2024/12/10 HelpNetSecurity — Microsoft December 2024 Patch Tuesday では、同社の製品に存在する 71件の脆弱性が修正されたが、その中には、悪用が確認されているゼロデイ脆弱性 CVE-2024-49138 が含まれている。この脆弱性は、Windows CLFS (Common Log File System) ドライバのヒープバッファ・オーバーフローに起因する。Microsoft の指摘は、この脆弱性の悪用に成功した攻撃者は、ターゲット・ホストにおける権限を、SYSTEM に昇格させる可能性を手にするというものだ。

悪用が確認された CVE-2024-49138

この脆弱性 CVE-2024-49138 の悪用は、ローカル (キーボードまたはコンソール経由)、またはリモート (SSH 経由など) から、ターゲット・システムへとアクセスすることで達成される。あるいは、攻撃者が正規ユーザーをだまして、悪意の文書の開封などのアクションを実行させ、悪用を誘発させる可能性もある。

CrowdStrike Advanced Research Team により報告された、この脆弱性は、攻撃者による悪用が確認されている。

Tenable の Senior Staff Research Engineer である Satnam Narang は、「今のところ、実環境での悪用に関する詳細は不明だ。しかし、注意が必要なのは、ここ数年の間に、CLFS の特権昇格の脆弱性を、ランサムウェア・オペレーターが悪用する傾向が高まっていることだ」と、Help Net Security に語っている。

また、Trend Micro ZDI の Head of Threat Awareness である Dustin Childs は、「この脆弱性 CVE-2024-49138 は、特権昇格を許すものであるため、コード実行の脆弱性と組み合わされて、システムの乗っ取りに悪用される可能性が高い。こうした戦術は、ランサムウェア攻撃や標的型フィッシング・キャンペーンでよく見られる」と指摘している。

2024年12月の Patch Tuesday では、CVE-2024-49138 とは別に、他の２件の Windows CLFS 特権昇格の脆弱性も修正されている。現時点において、それらの脆弱性の、積極的な悪用は確認されていない。ただし、悪用される可能性は “より高い” とされているため、修正しておくべきである。

その他の早急に修正すべき脆弱性

ZDI の Childs は、Windows Lightweight Directory Access Protocol (LDAP) の脆弱性であるCVE-2024-49112についても、早急にパッチを適用すべきだと指摘している。特別に細工された一連の LDAP コールを送信する、未認証のリモートの攻撃者により、この脆弱性が悪用される可能性が生じる。

Immersive Labs の Principal Security Engineer である Rob Reeves は、「Windows ネットワーク内の Domain Controller であるサーバ上で、最も目に付つくものが LDAP である。そのドメイン内で LDAP を機能させるためには、他のサーバやクライアントに対して、LDAP を公開する必要がある。現時点において、Microsoft は、この脆弱性 CVE-2024-49112 に関する具体的な情報を発表していない。しかし同社は、この脆弱性を介した攻撃の複雑度は低く、認証を必要とせずに悪用できるとしている」と、Help Net Security に語っている。

アップデートの適用が不可能なユーザーに対して、Microsoft は緩和策を推奨している。具体的に言うと、Domain Controller に対するインターネット・アクセスの遮断、もしくは、信頼されないネットワークからの受信 RPC 接続の拒否を、コンフィグに取り入れることだ。

2024年12月の Patch Tuesday で修正された脆弱性のうち、悪用される可能性が “more likely” と評価されているものには、Windows Cloud Files Mini Filter Driver EoP の脆弱性 CVE-2024-49114 と、Windows Resilient File System の EoP 脆弱性 CVE-2024-49093 がある。

また、Immersivelabs のKevBreen は、 「CVE-2024-49114 のパッチ・ノートには、同じコンポーネント内で発見された、他の脆弱性と驚くほど類似する事柄が記載されている。それらは、現在も悪用されており、2023年の終わりには CISA KEV リストにも掲載されている」と語っている。彼は、すでに公開されている、実証済みの効果的な悪用方法を用いる攻撃者が、この脆弱性を迅速に悪用する可能性があると指摘している。

2024年12月の Patch Tuesday ですが、CLFS にゼロデイ脆弱性 CVE-2024-49138 が存在し、悪用も確認されていると報じていました。このところ、CLFS の脆弱性に関する記事が見かけるので、調べてみたら、以下のような感じでした。よろしければ、ご参照ください。

2024/10/28：Windows 11 の CLFS に特権昇格の脆弱性：PoC が公開
2024/08/12 ：Windows CLFS ドライバの脆弱性 CVE-2024-6768
2023/12/23：Windows CLFS の脆弱性：ランサムウェア攻撃で悪用
2022/09/13：Windows CLFS 脆弱性 CVE-2022-37969 へのゼロデイ攻撃