Windows Error Reporting サービスにおけるシンボリックリンク検証不備により権限昇格が可能となる脆弱性(Scan Tech Report) | ScanNetSecurity
2024.06.15(土)

Windows Error Reporting サービスにおけるシンボリックリンク検証不備により権限昇格が可能となる脆弱性(Scan Tech Report)

2023 年 7 月に修正された、Microsoft Windows OS での権限昇格が可能となる脆弱性のエクスプロイトコードが公開されています。

脆弱性と脅威 エクスプロイト
www.microsoft.com
www.microsoft.com 全 1 枚 拡大写真
◆概要
 2023 年 7 月に修正された、Microsoft Windows OS での権限昇格が可能となる脆弱性のエクスプロイトコードが公開されています。脆弱な OS への侵入に成功した攻撃者は、当該脆弱性の悪用により、任意のプログラムを SYSTEM 権限で実行可能です。セキュリティ更新プログラムの適用により対策してください。

◆分析者コメント
 脆弱性は容易に悪用可能なものであり、現実の攻撃者グループによる悪用が報告されています。セキュリティ更新プログラムの適用により、早急な対策が求められます。

◆深刻度(CVSS)
[CVSS v3.1]
7.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2023-36874&vector=AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=Microsoft%20Corporation

◆影響を受けるソフトウェア
 以下のバージョンの Microsoft Windows OS が当該脆弱性の影響を受けると報告されています。

* Windows 10 Version 1507 - 22H2
* Windows 11 Version 21H2 - 22H2
* Windows Server 2008 - 2022

◆解説
 Microsoft Windows OS において、プログラムの動作不良に関する報告機能である Windows Error Reporting サービスに存在する権限昇格の脆弱性が報告されています。

 脆弱性は、Windows Error Reporting サービスのレポート作成処理の論理的不備に起因するものです。脆弱性が存在する Windows Error Reporting サービスでは、Administrators グループに所属していないアカウントからレポートの作成を要求された際のシンボリックリンク検証に不備があるため、悪意のあるシンボリックリンクの配置により、意図していないディレクトリに配置された wermgr.exe ファイルを実行してしまいます。Administrators グループに所属していない一般権限アカウントでの侵入に成功した攻撃者は、当該脆弱性を悪用して SYSTEM 権限で任意のプログラムを実行させることが可能となります。

◆対策
2023 年 7 月分のセキュリティ更新プログラムを適用してください。

◆関連情報
[1] Microsoft 公式
  https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2023-36874
[2] CrowdStrike
  https://www.crowdstrike.com/blog/falcon-complete-zero-day-exploit-cve-2023-36874/
[3] National Vulnerability Database (NVD)
  https://nvd.nist.gov/vuln/detail/CVE-2023-36874
[4] CVE Mitre
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-36874

◆エクスプロイト
 以下の Web サイトにて、当該脆弱性を悪用して管理者権限アカウントの追加を試みるエクスプロイトコードが公開されています、

  GitHub - Wh04m1001/CVE-2023-36874
  https://github.com/Wh04m1001/CVE-2023-36874

//-- で始まる行は執筆者によるコメントです。

《株式会社ラック デジタルペンテスト部》

この記事の写真

/

特集

関連記事

PageTop

アクセスランキング

  1. イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

    イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

  2. 役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

    役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

  3. 不正アクセス 盗まれたのは公式サイトのドメイン

    不正アクセス 盗まれたのは公式サイトのドメイン

  4. ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

    ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

  5. ニデックインスツルメンツにランサムウェア攻撃、複数のサーバ内ファイルが暗号化被害

    ニデックインスツルメンツにランサムウェア攻撃、複数のサーバ内ファイルが暗号化被害

ランキングをもっと見る
PageTop