AnyDesk Exploit Alert: CVE-2024-12754 Enables Privilege Escalation—PoC Available
2025/02/09 SecurityOnline — 人気のリモート管理ソフトウェアである AnyDesk で、先日に発見された脆弱性の分析結果を、セキュリティ研究者である Naor Hodorov が発表した。この脆弱性 CVE-2024-12754 の悪用に成功した低権限のユーザーは、昇格されたアクセス権を取得し、システムの完全な制御を奪う可能性を手にする。
この脆弱性は、AnyDesk サービスが “NT AUTHORITY\SYSTEM” として実行する、高権限による任意のファイルの読取/複製の操作に起因する。簡単に言うと、最高のシステム権限で実行されるサービスにより、低権限のユーザーがアクセスできる場所に任意のファイルをコピーし、既存のファイルを上書きすることで、オリジナルの所有権と権限を保持できる。
Hodorov は、「低権限のユーザーによる背景イメージの設定が可能になり、その後に AnyDesk サービスにより “C:\Windows\Temp” ディレクトリへとファイルがコピーされる。コピーされたファイルは、”NT AUTHORITY\SYSTEM” が所有するものであり、オリジナルのファイル名を保持している。デフォルトでは、低権限のユーザーによる “は “C:\Windows\Temp” へのアクセスは制限されているが、このディレクトリにおけるファイルの作成/書込が可能になる」と述べている。
これらの要因の組み合わせにより攻撃者は、ターゲット・ファイルと同じ名前のファイルを、”C:\Windows\Temp” 内に事前に作成できる。AnyDesk サービスが背景イメージをコピーすると、事前に作成されたファイルが上書きされ、”NT AUTHORITY\SYSTEM” 権限を持つファイルの所有権が、攻撃者に付与される。
Hodorov が実証したのは、SAM/SYSTEM/SECURITY などの機密システム・ファイルをターゲットにして、この脆弱性を悪用することで、ローカル権限を昇格する方式である。通常において、これらのファイルは、システムと管理者だけがアクセスできるものだ。しかし、脆弱性 CVE-2024-12754 の悪用に成功した攻撃者は、それらのファイルを制御することで、ユーザーの資格情報を抽出し、システムを完全に制御する可能性を手にする。
すでに、脆弱性 CVE-2024-12754 は、AnyDesk バージョン v9.0.1 で修正されている。潜在的な攻撃から身を守るために、ユーザーに強く推奨されるのは、最新バージョンへと速やかに更新することだ。
この脆弱性が浮き彫りにするのは、リモート管理に使用されるソフトウェアのセキュリティ・リスクを理解し、軽減することの重要性である。Hodorov は、「Windows 上の低権限ユーザーであっても、独自の背景イメージを設定できるため、必要に応じてコピーされるファイルのソースを制御できる。この一見すると無害な機能を、他のシステム・メカニズムと組み合わせると、不正アクセスのための悪用の可能性が生じる」と、指摘している。
技術的な詳細に関心があるなら、PoC エクスプロイトを GitHub で入手できる。ユーザーと管理者は、この脆弱性を真剣に受け止め、可能な限り早急に、必要なパッチを適用する必要がある。
AnyDesk のようなリモート管理ツールは、便利な反面、脆弱性が悪用されるリスクも伴います。この脆弱性 CVE-2024-12754 は、低権限ユーザーでもシステムを乗っ取れる危険性を持っています。PoC エクスプロイトが提供されたことで、悪用の可能性も高まります。ご利用のチームは、お気をつけください。よろしければ、Remote Desktop で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.