「Microsoft Windows Installer」に潜む権限昇格の脆弱性を悪用するマルウェアを既にハッカーが作り出しているという。
Microsoftは、アプリケーションの配備に用いられるWindows Installerコンポーネントに存在する権限昇格の脆弱性「CVE-2021-41379」に対処するパッチをリリースしている。この脆弱性は「重要」(Important)と分類され、CVSSスコアは5.5とされている。
この脆弱性は、パッチのリリース時には悪用されていないとされていたが、Cisco Talosのマルウェアリサーチャーらによると、現在では活発に悪用されているという。またCisco Talosは、Microsoftの11月のパッチを適用したシステムでもこの脆弱性は完全に対処されておらず、攻撃者は管理者レベルの権限を入手できる可能性があるとしている。
これはMicrosoftの見解とは異なる。Microsoftによると、攻撃者はシステム上の狙ったファイルを削除できるだけであり、ファイルの内容を閲覧、修正する権限は得られない。
一方、Cisco TalosのJaeson Schultz氏は、「この脆弱性を悪用すれば、制限付きユーザーアカウントの攻撃者が権限を昇格させ、管理者になることが可能になる」と説明している。
「すべてのパッチを適用した『Windows 11』や『Windows Server 2022』を含む、『Microsoft Windows』の全バージョンがこの脆弱性の影響を受ける。Cisco Talosは既に、この脆弱性を悪用しようとするマルウェアサンプルが出回っていることを検出している」(Schultz氏)
CVE-2021-41379をMicrosoftに報告したリサーチャーAbdelhamid Naceri氏は、パッチ適用済みのシステムでテストした上で、概念実証(PoC)コードを米国時間11月22日にGitHubで公開した。このコードはMicrosoftがフィックスを実装しているにも関わらず、意図通りに動作するとSchultz氏は述べている。また、影響があるとされている「Windows Server」のバージョン(Windows Server 2022を含む)でも動作するという。
Schultz氏は、「Naceri氏が公開したこのコードは、Microsoft Edge Elevation Service用の随意アクセス制御リスト(DACL)を利用してシステム上の任意の実行ファイルをMSIファイルで置き換えるというものだ。これにより攻撃者は、コードを管理者権限で実行できるようになる」と説明している。
さらに同氏は、「実際に動作するこのPoCエクスプロイトコードによって、この脆弱性がさらに悪用されるのは間違いないだろう」と述べている。
Naceri氏はGitHubで、「この脆弱性は複雑なものであるため、バイナリーに直接パッチを適用すればWindows Installerが破損する。このため、しばらくの間は静観し、Mirosoftが再度パッチでどのように対処するのかを見極めた方がよいだろう」としている。Microsoftは現時点で、Naceri氏の新たなPoCコードについて見解を示しておらず、パッチを発行するかどうかについても明らかにしていない。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
