Uncategorized

簡単に悪用可能な、パッチが適用されていないWindows特権昇格の欠陥が明らかになりました(CVE-2021-36934)

  1. HOME >
  2. Uncategorized >

簡単に悪用可能な、パッチが適用されていないWindows特権昇格の欠陥が明らかになりました(CVE-2021-36934)

CVE-2021-36934について

「セキュリティアカウントマネージャー(SAM)データベースを含む複数のシステムファイルにアクセス制御リスト(ACL)が過度に許容されているため、特権の昇格の脆弱性が存在します。この脆弱性の悪用に成功した攻撃者は、SYSTEM権限で任意のコードを実行する可能性があります。その後、攻撃者はプログラムをインストールする可能性があります。データを表示、変更、または削除する。または、完全なユーザー権限で新しいアカウントを作成します。攻撃者は、この脆弱性を悪用するために、被害者のシステムでコードを実行する能力を持っている必要があります」とマイクロソフトは確認しました

この脆弱性はCVE番号を受け取りましたが、Microsoftはまだ、影響を受けるWindowsのバージョンを調査しており、修正に取り組んでいます。

現時点では、%windir%\ system32 \ configのコンテンツへのアクセスを制限することと、ボリュームシャドウコピーサービス(VSS)のシャドウコピーを削除することを含む、2つの一時的な回避策についてアドバイスしています。CERT / CCは、その方法について役立つ指示を提供しました。

この脆弱性は、管理者以外のユーザーが脆弱なホストのsam(Security Accounts Manager)、システム、およびセキュリティ Windowsレジストリハイブファイルを読み取ることができるという事実に起因します

研究者のBenjaminDelpyとCERT / CCのWillDormanが指摘したように、これらのファイルには、ユーザーアカウントのハッシュ化されたパスワード、元のWindowsインストールパスワード、DPAPIコンピューターキー(すべてのコンピューターの秘密キーの復号化に使用できる)などが含まれます。https://platform.twitter.com/embed/Tweet.html?creatorScreenName=zeljkazorz&dnt=false&embedId=twitter-widget-1&features=eyJ0ZndfZXhwZXJpbWVudHNfY29va2llX2V4cGlyYXRpb24iOnsiYnVja2V0IjoxMjA5NjAwLCJ2ZXJzaW9uIjpudWxsfSwidGZ3X2hvcml6b25fdHdlZXRfZW1iZWRfOTU1NSI6eyJidWNrZXQiOiJodGUiLCJ2ZXJzaW9uIjpudWxsfSwidGZ3X3NwYWNlX2NhcmQiOnsiYnVja2V0Ijoib2ZmIiwidmVyc2lvbiI6bnVsbH19&frame=false&hideCard=false&hideThread=false&id=1417467063883476992&lang=ja&origin=https%3A%2F%2Fwww.helpnetsecurity.com%2F2021%2F07%2F21%2Fcve-2021-36934%2F&sessionId=6b9a0d399a29eae4f6f8594a840225974e79fbb7&siteScreenName=helpnetsecurity&theme=light&widgetsVersion=82e1070%3A1619632193066&width=550pxhttps://platform.twitter.com/embed/Tweet.html?creatorScreenName=zeljkazorz&dnt=false&embedId=twitter-widget-2&features=eyJ0ZndfZXhwZXJpbWVudHNfY29va2llX2V4cGlyYXRpb24iOnsiYnVja2V0IjoxMjA5NjAwLCJ2ZXJzaW9uIjpudWxsfSwidGZ3X2hvcml6b25fdHdlZXRfZW1iZWRfOTU1NSI6eyJidWNrZXQiOiJodGUiLCJ2ZXJzaW9uIjpudWxsfSwidGZ3X3NwYWNlX2NhcmQiOnsiYnVja2V0Ijoib2ZmIiwidmVyc2lvbiI6bnVsbH19&frame=false&hideCard=false&hideThread=false&id=1417447179149533185&lang=ja&origin=https%3A%2F%2Fwww.helpnetsecurity.com%2F2021%2F07%2F21%2Fcve-2021-36934%2F&sessionId=6b9a0d399a29eae4f6f8594a840225974e79fbb7&siteScreenName=helpnetsecurity&theme=light&widgetsVersion=82e1070%3A1619632193066&width=550px

CVE-2021-36934は、システムドライブのVSSシャドウコピーが利用可能な場合にのみ悪用可能です。ただし、Dormannが説明したように、一部の構成ではVSSシャドウコピーを使用できない場合があります。「128GBを超えるサイズのシステムドライブを用意し、Windows Updateを実行するか、MSIをインストールするだけで、VSSシャドウコピーが確実に使用できるようになります。自動的に作成されます。」

更新(2021年7月21日、太平洋標準時午前4時):

Kevin Beaumontは、CVE-2021-36934(別名HiveNightmare)のゼロデイPoCエクスプロイトをリリースしました。

更新(2021年7月23日午前00:45 PT):

マイクロソフトはセキュリティアドバイザリを更新して、この欠陥がさまざまなWindows10およびWindowsサーバーのバージョンに影響を与えることに注意しました。また、修正がリリースされる前に問題を軽減するには、ユーザー/管理者が%windir%\ system32 \ configのコンテンツへのアクセスを制限し、この脆弱性の悪用を防ぐためにシャドウコピーを削除する必要があることも確認しました。

-Uncategorized