/home/xs010557/digital-madoguchi.site/public_html/test/wp-content/themes/zox-news/amp-single.php on line 77

Warning: Trying to access array offset on value of type bool in /home/xs010557/digital-madoguchi.site/public_html/test/wp-content/themes/zox-news/amp-single.php on line 77
" width="36" height="36">

サイバーセキュリティニュース

Windowsの核心を揺るがす特権昇格脆弱性、パッチ後も攻撃継続

Microsoft Windowsの特権昇格脆弱性に対するカーネルパッチがリリースされたものの、攻撃が観測され続けています。CSRSS、Print Spooler、WERなどのサービスが影響を受け、システム全体のセキュリティが脅かされています。パッチ適用とセキュリティ対策の強化が急務です。【用語解説とAIによる専門的コメントつき】

Published

2年 ago

on

2015年以降、Microsoft Windowsに影響を与える特権昇格(EoP)脆弱性に対するカーネルパッチがリリースされたが、パッチ適用後も一部の攻撃が観測されている。これらの脆弱性は、ユーザー権限を持つアカウントが脆弱なホストでSYSTEM特権を取得することを可能にする。影響を受けるプロセスとサービスには、CSRSS、Windows Error Reporting(WER)、File History Service、Background intelligence transfer service(BITS)、Print Spoolerなどが含まれる。

具体的な脆弱性としては、CSRSSのActivation Context Cache Poisoning脆弱性(CVE-2022-22047)、Print Spoolerの脆弱性(CVE-2022-29104、CVE-2022-41073)、Windows Error Reportingの脆弱性(CVE-2023-36874)、File History Serviceの脆弱性(CVE-2023-35359)、BITSの脆弱性(CVE-2023-35359)などが報告されている。

パッチ適用の方法としては、ObpLookupObjectNameに適用され、ロードされたリソースがファイルオブジェクトであるか、ObpUseSystemDeviceMapの呼び出しが成功するかをチェックする。脆弱性の悪用を確認する方法としては、C:\ドライブ内に書き込み可能なフォルダの作成、WinSxSフォルダ内のマニフェストファイルのコピーと修正、シンボリックリンクの作成などが指標となる。

【ニュース解説】

2015年以降、Microsoft Windowsに影響を与える特権昇格(Elevation of Privilege, EoP)脆弱性が存在しており、これによりユーザー権限を持つアカウントが脆弱なホストでSYSTEM特権を取得することが可能になっていました。この問題に対処するため、Microsoftは2023年8月にこれらの脆弱性に対するカーネルパッチをリリースしました。しかし、パッチ適用後も一部の攻撃が観測されており、セキュリティ研究者たちはこの問題を引き続き注視しています。

影響を受けるプロセスとサービスには、Client/Server Runtime Subsystem (CSRSS)、Windows Error Reporting (WER)、File History Service、Background Intelligence Transfer Service (BITS)、Print Spoolerなどが含まれます。これらはWindowsの基本的な機能を担うサービスであり、攻撃者によって悪用されるとシステム全体のセキュリティが脅かされます。

具体的な脆弱性としては、CSRSSのActivation Context Cache Poisoning脆弱性(CVE-2022-22047)、Print Spoolerの脆弱性(CVE-2022-29104、CVE-2022-41073)、Windows Error Reportingの脆弱性(CVE-2023-36874)、File History Serviceの脆弱性(CVE-2023-35359)、BITSの脆弱性(CVE-2023-35359)などが報告されています。これらの脆弱性は、シンボリックリンクやマニフェストファイルの悪用、DLLの不正なリダイレクトなど、さまざまな技術を用いて悪用されます。

パッチ適用の方法としては、ObpLookupObjectName関数に対する改善が行われました。この関数は、ロードされたリソースがファイルオブジェクトであるか、およびObpUseSystemDeviceMapの呼び出しが成功するかをチェックします。これにより、システムデバイスマップの代わりに偽装されたデバイスマップが使用されるのを防ぎます。

脆弱性の悪用を確認する方法としては、C:\ドライブ内に書き込み可能なフォルダを作成し、そのフォルダ構造がオリジナルのC:\ドライブのフォルダ構造を模倣している場合、悪用の試みがあった可能性が高いと考えられます。また、WinSxSフォルダ内のマニフェストファイルを書き込み可能なディレクトリにコピーし、修正する行為や、シンボリックリンクの作成も悪用の指標となり得ます。

この問題の解決には、Microsoftによるパッチの適用だけでなく、エンドユーザーやシステム管理者による迅速なアップデートの適用、セキュリティ対策の強化が必要です。また、このような脆弱性が発見され続けることは、ソフトウェアの複雑性とセキュリティの重要性を改めて示しており、継続的な監視と対策が求められます。

from A patched Windows attack surface is still exploitable.

Related Topics:

Trending

モバイルバージョンを終了