Windowsに特権昇格の新たなゼロデイ脆弱性、原因はレジストリハイブファイルのアクセス権 16
ストーリー by headless
発見 部門より
発見 部門より
Windows で新たに見つかった特権昇格のゼロデイ脆弱性について、Microsoft が回避策を紹介している(CVE-2021-36934、 CERT: VU#506989、 DoublePulsar のブログ記事、 BetaNews の記事)。
この脆弱性は SAM や SYSTEM などのレジストリハイブファイルに対し、読み取りと実行のアクセス権 (RX) が BUILTIN\Users などの本来付与すべきでないユーザーに付与されていることが原因だ。影響を受けるシステムはWindows 10 バージョン1809以降で、Windows 11 Insider Previewも影響を受ける。
起動中の Windows のレジストリハイブファイルはロックされているため権限があっても読み取ることはできないが、ボリュームシャドウコピーが有効であれば標準ユーザーの権限で読み取り可能となる。SAM には認証関連の情報が含まれるため、攻撃者が悪用すれば SYSTEM の権限で任意コード実行が可能だ。脆弱性は HiveNightmare や SeriousSAM などとも呼ばれ、PoC も公開されている。
回避策としては %windir%\system32\config 内のすべてのファイルのアクセス権を修正し、システムの復元ポイントをすべて削除するというものだ。復元ポイントは必要に応じて作り直せばいい。
この脆弱性は SAM や SYSTEM などのレジストリハイブファイルに対し、読み取りと実行のアクセス権 (RX) が BUILTIN\Users などの本来付与すべきでないユーザーに付与されていることが原因だ。影響を受けるシステムはWindows 10 バージョン1809以降で、Windows 11 Insider Previewも影響を受ける。
起動中の Windows のレジストリハイブファイルはロックされているため権限があっても読み取ることはできないが、ボリュームシャドウコピーが有効であれば標準ユーザーの権限で読み取り可能となる。SAM には認証関連の情報が含まれるため、攻撃者が悪用すれば SYSTEM の権限で任意コード実行が可能だ。脆弱性は HiveNightmare や SeriousSAM などとも呼ばれ、PoC も公開されている。
回避策としては %windir%\system32\config 内のすべてのファイルのアクセス権を修正し、システムの復元ポイントをすべて削除するというものだ。復元ポイントは必要に応じて作り直せばいい。