Windows で新たに見つかった特権昇格のゼロデイ脆弱性について、Microsoft が回避策を紹介している(CVE-2021-36934、 CERT: VU#506989、 DoublePulsar のブログ記事、 BetaNews の記事)。
この脆弱性は SAM や SYSTEM などのレジストリハイブファイルに対し、読み取りと実行のアクセス権 (RX) が BUILTINUsers などの本来付与すべきでないユーザーに付与されていることが原因だ。影響を受けるシステムはWindows 10 バージョン1809以降で、Windows 11 Insider Previewも影響を受ける。
起動中の Windows のレジストリハイブファイルはロックされているため権限があっても読み取ることはできないが、ボリュームシャドウコピーが有効であれば標準ユーザーの権限で読み取り可能となる。SAM には認証関連の情報が含まれるため、攻撃者が悪用すれば SYSTEM の権限で任意コード実行が可能だ。脆弱性は HiveNightmare や SeriousSAM などとも呼ばれ、PoC も公開されている。
回避策としては %windir%system32config 内のすべてのファイルのアクセス権を修正し、システムの復元ポイントをすべて削除するというものだ。復元ポイントは必要に応じて作り直せばいい。
| セキュリティ
| バグ
| Windows
|
関連ストーリー:
米国土安全保障省、政府機関に PrintNightmare 脆弱性対策を命じる
2021年07月17日
Microsoft、Windows のゼロデイ脆弱性「PrintNightmare」を修正する更新プログラムを緊急リリース
2021年07月10日
Windows の Print Spooler で見つかった脆弱性、研究者の勘違いでゼロデイに
2021年07月04日
Exchange Serverの脆弱性「ProxyLogin」を悪用したゼロデイ攻撃で被害多発
2021年03月08日
Microsoftのマルウェア対策エンジンに12年以上前から存在した脆弱性
2021年02月16日
Microsoft、ドメインコントローラー強制モードのデフォルト有効化に向けて対応を呼びかけ
2021年01月22日
Microsoft、SolarWindsの悪用攻撃によりソースコードを閲覧される
2021年01月05日
Source: スラッシュドット
