【要約】Researcher drops Windows 0-day that lets non-admin users modify sensitive admin settings [Ars_Technica] | Summary by TechDistill
> Source: Ars_Technica
Execute Primary Source
// Problem
攻撃者が低権限のアカウントを利用して、システムの管理者権限を不正に取得できる問題が発生している。Windowsの設計上の隙を突くことで、以下のリスクが生じる。
- ・非管理者ユーザーが管理者ユーザーのレジストリ設定を操作できる。
- ・管理者ログイン時に、攻撃者の意図したコードが実行される恐れがある。
- ・攻撃者が他の脆弱性と組み合わせ、直接的な管理者アクセスを得る可能性がある。
// Approach
攻撃者は、Windowsがユーザーのプロファイルを読み込む際の実行コンテキストの不備を悪用する。具体的には、以下の手順で権限昇格を試みる。
- ・ユーザーのログイン時に、Windowsが「classes registry hive」を読み込む挙動を利用する。
- ・読み込みプロセスが「NT AUTHORITY\SYSTEM」のコンテキストで実行される点に注目する。
- ・この特権状態を利用して、管理者ユーザーのレジストリを不正に書き換える。
// Result
この脆弱性の悪用により、攻撃者は実質的な管理者権限(de facto administrator privileges)を得る可能性がある。現状の対策と展望は以下の通りである。
- ・攻撃者は管理者ログイン時に任意のコードを実行可能となる。
- ・Microsoftによる修正パッチの提供が待たれる状態である。
- ・暫定策として、Kevin Beaumont氏による検知スクリプトの利用が推奨されている。
Senior Engineer Insight
> 権限分離の原則が、サービス実行コンテキストの不備によって崩壊している。特権プロセスがユーザーデータの読み込みを行う際の境界条件の脆弱性は、OSの根幹に関わる問題だ。パッチ適用までの間は、EDRや監視ツールを用いて、ProfSvcによる予期せぬHiveロードや、NTUSER.DAT/UsrClass.datへの不審なアクセスを厳格に監視すべきである。運用コストは増大するが、エンドポイントの防御には不可欠な措置となる。