CVE-2024-43452: PoC Exploit Released for Windows Elevation of Privilege Bug
2025/01/05 SecurityOnline — Windows Registry の特権昇格の脆弱性 CVE-2024-43452 (CVSS 7.5) に対する、PoC エクスプロイト・コードと技術的詳細が、Google Project Zero の Mateusz Jurczyk により公開されている。この脆弱性は、Windows Registry ハイブのメモリ管理における設計上の見落としを悪用するものである。この脆弱性を悪用する攻撃者は、脆弱性のあるマシン上で SYSTEM レベルのアクセス権を取得する可能性を手にする。
脆弱性 CVE-2024-43452 の分析が浮き彫りにするのは、OS における偽のファイル不変性がもたらす危険性である。この研究におけるインスピレーションは、同じ脆弱性クラスに関する Gabriel Landau の研究からきていると、Jurczyk は述べている。
Jurczyk の分析結果には、「この欠陥は、レジストリ・ハイブの読み込み中に生じる、ダブル・フェッチと呼ばれるプロセスに起因する。メモリ不足の状況下においては、同じメモリのページがフェッチされて削除され、基盤となるメディアから再読込される可能性がある。それが、セキュリティ上の問題となっている。なぜなら、悪意の SMB サーバが、それぞれのリクエストに対して異なるデータで応答した場合には、結果の差し替えが可能となり、カーネルの想定が破られるからだ」と記されている。
Jurczyk の PoC が示すのは、この脆弱性を悪用するシナリオである:
- 攻撃者は、リモート SMB サーバ上に、悪意のハイブ・ファイルをホストする。
- ターゲット・システムがハイブをロードすると、特定のメモリ制約下でメモリのフェッチ/エビクションがトリガーされる。
- 悪意のサーバが操作されたデータで応答すると、レジストリ・ハイブ構造が破損し、メモリ破損が発生する。
FileOffset や Size などの主要パラメータを制御することで、この脆弱性を悪用する攻撃者は、強力なメモリ破損プリミティブを通じて、SYSTEM 特権を獲得する可能性を手にする。
脆弱性 CVE-2024-43452 の PoC エクスプロイト・コードには、ハイブ・ファイルの操作のために Python スクリプトを実行する、Linux ベースの SMB サーバが取り込まれている。Jurczyk によると、2024年7月のパッチがインストールされた Windows 11 23H2 上で、この PoC は動作したという。
彼は、「この脆弱性の悪用は、システム・メモリの消費量/レイアウトに大きく依存する。そのため、1回目の試行で再現しない場合には、タスク・マネージャなどでメモリ使用量を確認し、VM に割り当てられた物理メモリの量を微調整した上で、再度の試行を推奨する」と述べている。
すでに Microsoft は、2024年11月の Patch Tuesday で、この脆弱性 CVE-2024-43452 に対応している。ユーザー組織に対して推奨されるのは、これらのパッチを直ちに適用することだ。また、SMB トラフィックの積極的な監視と、レジストリ関連操作へのアクセス制限により、リスクをさらに低減できる。
Windows レジストリ・ハイブの読み込み中に生じる、ダブル・フェッチの脆弱性ですが、2024年7月のパッチがインストールされた、Windows 11 23H2 上で動作する PoC が提供されたようです。ご利用のチームは、ご注意ください。よろしければ、Windows で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.