Elastic Defend for Windows Vulnerability Allows Threat Actors to Gain Elevated Access
2025/11/10 gbhackers — Elastic が公開したのは、Elastic Defend に存在する深刻な脆弱性 CVE-2025-37735 に対処するセキュリティ・アドバイザリである。この脆弱性は、Defend サービスにおけるファイル権限の不適切な保持に起因し、Windows システム上での権限昇格を攻撃者に許すことになる。したがって、このエンドポイント保護プラットフォームを利用する組織に、深刻なリスクが生じる恐れがある。
脆弱性の概要
この脆弱性は、Elastic Defend for Windows が、ホスト上のファイル権限を処理する方法に起因する。SYSTEM レベルの権限で実行される Defend サービスは、システム上のファイルを処理する際に、オリジナルの権限設定を適切に保持できない。この不適切な権限処理により、ローカル攻撃者が、侵害したシステム上で任意のファイルを削除する可能性がある。
| Field | Details |
|---|---|
| CVE ID | CVE-2025-37735 |
| Vulnerability Type | Improper Preservation of Permissions |
| Affected Product | Elastic Defend for Windows |
| Affected Versions | 8.19.5 and earlier; 9.0.0 through 9.1.5 |
| Fixed Versions | 8.19.6, 9.1.6, 9.2.0 |
| CVSS v3.1 Score | 7.0 (High) |
特定のシナリオにおいては、重要なシステム・ファイルの削除によりローカル権限昇格が引き起こされ、ユーザー権限しか持たない攻撃者が、影響を受けるマシンの完全な管理者権限を取得する恐れがある。それにより、単なるファイル処理の不備が、脆弱な組織のセキュリティ態勢を脅かす、深刻な権限昇格の脆弱性へと発展する可能性がある。
この脆弱性が影響を及ぼす範囲は、Elastic Defend のバージョン 8.19.5 以前/9.0.0~9.1.5 を実行している環境である。この脆弱性は、システム上の任意のローカル・ユーザーにより悪用される可能性がある。したがって、これらのバージョンを使用している組織は、この問題を優先的な修正項目として扱う必要がある。
この脆弱性は CVSS 3.1 スコア 7.0 (High) と評価されており、攻撃ベクター文字列は CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H である。
すでに Elastic は、この脆弱性を修正したバージョンをリリースしている。したがって、組織は直ちに以下の修正済みバージョン 8.19.6/9.1.6/9.2.0 へアップグレードする必要がある。これらのアップデートにより、適切な権限保持メカニズムが実装され、攻撃ベクターが排除される。
また、運用上の制約や互換性の懸念により、迅速なアップグレードが不可能な組織向けには、一時的な回避策が示されている。それに加えて、Windows 11 バージョン 24H2 には、この脆弱性の悪用を著しく困難にするアーキテクチャの変更が含まれている。
したがって、古い Windows バージョンを使用している組織に推奨されるのは、Elastic Defend のアップグレードを計画すると同時に、Windows 11 バージョン 24H2 以降へのアップグレードを検討することだ。
セキュリティ・チームにとって必要なことは、インフラ全体にわたり、この脆弱性へのパッチ適用を優先することである。ローカル・アクセス要件とユーザー権限の組み合わせにより、システム・アクセス権を持つ従業員や契約社員がリスク要因となり得る。さらに、標準ユーザー権限を持つアカウントが侵害され、この脆弱性を介して管理者権限が取得される可能性がある。
ユーザー組織は、Elastic Defend の展開状況を把握し、脆弱なバージョンを実行しているシステムを特定した上で、アップグレードのタイムラインを策定する必要がある。また、この問題は深刻度が高く、現実的な悪用シナリオが想定されるため、日常的なパッチ適用ではなく、重要インフラの保守として扱うべきである。
この脆弱性の原因は、Elastic Defend のファイル権限管理に関する設計上の不備にあるようです。SYSTEM 権限で動作するサービスが、ファイルのオリジナル・アクセス権を適切に保持できないことで、ローカル・ユーザーであっても重要なファイルを削除できる状態にあります。つまり、通常は制御下にあるべき権限処理が緩くなっていたことが、権限昇格を許しています。ファイル操作の安全性は OS 依存の部分も大きいので、Elastic 側の修正だけでなく、Windows 側の仕様変更も重要だと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Elastic で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.