注目の脆弱性:Dell Precision Optimizer および Invincea の脆弱性
脆弱性発見者:Marcin ‘Icewall’ Noga(Cisco Talos)
概要
Talos は、Dell Precision Optimizer アプリケーション サービス ソフトウェア、Invincea-X、および Invincea Dell Protected Workspace に発見された脆弱性についてのアドバイザリを公開します。これらのパッケージは Dell の特定のシステムにプリインストールされています。各アプリケーションに存在する脆弱性をエクスプロイトされた場合、セキュリティ メカニズムの無効化、権限の昇格、そのアプリケーション ユーザのコンテキストにおける任意のコード実行が行われる可能性があります。
脆弱性の詳細
権限昇格の脆弱性 TALOS-2016-0256(CVE-2016-9038)
これは、SboxDrv.sys ドライバに存在するダブル フェッチの脆弱性です。この脆弱性をトリガーするには、すべてのユーザから読み込み/書き込みアクセス可能な \Device\SandboxDriverApi デバイス ドライバに対し、細工したデータを渡します。この脆弱性のエクスプロイトが成功した場合、カーネル メモリスペースに任意の値を書き込まれ、ローカル権限の昇格が発生する可能性があります。
既知の脆弱性:Invincea-X、Dell Protected Workspace 6.1.3-24058
詳細は、次の脆弱性レポートに記載されています。TALOS-2016-0256
保護機能がバイパスされる脆弱性 TALOS-2016-0246(CVE-2016-8732)
Invincea Dell Protected Workspace は、エンドポイントのセキュリティ強化を目的とした、Dell 提供のセキュリティ ソリューションです。同ソフトウェアのバージョン 5.1.1-22303 に同梱されるドライバ コンポーネントの 1 つ「InvProtectDrv.sys」には、セキュリティ上の欠陥が複数存在します。このドライバには、ドライバ通信チャネルに対する脆弱な制限と不十分な検証という 2 つの問題があり、影響を受けるシステム上で、攻撃者が制御するアプリケーションが実行された場合、ドライバを悪用され、同ソフトウェアが提供する一部の保護メカニズムが無効にされる可能性があります。
既知の脆弱性:Invincea、Dell Protected Workspace 5.1.1-22303
この脆弱性は、ソフトウェアの 6.3.0 リリースで修正されています。
詳細は、次の脆弱性レポートに記載されています。TALOS-2016-2046
保護機能がバイパスされる脆弱性 TALOS-2016-0247(CVE-2017-2802)
Dell Precision Optimizer アプリケーションが提供する「Dell PPO Service」が起動する際、「c:\Program Files\Dell\PPO\poaService.exe」プログラムは、「c:\Program Files\Dell\PPO\ati.dll」をロードします。ロードされた ati.dll は、「atiadlxx.dll」のロードを試みますが、atiadlxx.dll は、デフォルトではアプリケーション ディレクトリに存在していません。ati.dll は、PATH 環境変数により指定されたディレクトリ内で適切な名前の dll を探します。同じ名前の dll が見つかった場合、ati.dll は、署名を検証することなく、その dll を poaService.exe にロードします。もし攻撃者が、同じ名前の不正な dll をそのディレクトリに配置していた場合、任意のコードを実行される可能性があります。
Dell は、この問題を解消するアップデートをすでにリリースしています。v4.0 以降のすべてのバージョンには、この脆弱性は存在しません。詳細は、次のページに記載されています。www.dell.com/optimizer
既知の脆弱性:Dell Precision Tower 5810(NVIDIA 製グラフィック カード搭載)、PPO Policy Processing Engine(3.5.5.0)、ati.dll(PPR Monitoring Plugin)(3.5.5.0)
詳細は、次の脆弱性レポートに記載されています。TALOS-2016-2047
セキュリティへの影響
Invincea Dell Protected Workspace は、高度なセキュリティ環境のワークステーションを保護するために広く利用されているアプリケーションです。脆弱性のあるバージョンを利用している組織では、攻撃者によってソフトウェアの保護機能がバイパスされることを防ぐため、できるだけ速やかに最新バージョンにアップデートすることを推奨します。デバイスにバンドルされたソフトウェアに関しては、そのリスクとメリットを慎重に検討することが必要です。どのようなソフトウェアでも、エクスプロイト可能な脆弱性が絶対に存在しないとは言い切れません。バンドルされたソフトウェアは有用な機能を備えている場合もありますが、使用しないソフトウェアをインストールしたままにしておくと、何のメリットを得ることもなく、脆弱性が存在するかもしれないというリスクだけを抱えることになります。使用しないソフトウェアを削除すれば、そのソフトウェアに存在する脆弱性を排除できるだけでなく、パッチ適用の手間も軽減できます。
カバレッジ
次の Snort ルールは、今回発見された脆弱性に対するエクスプロイトを検出します。脆弱性に関する新たな情報が発見された場合は、ルールが追加・変更される可能性もあります。最新情報にご注意ください。ルールに関する最新情報は、FireSIGHT Management Center または Snort.org を参照してください。
Snort ルール:41306 – 41309、41312 – 41313
本稿は 2017年6月30日に Talos Group
Tags:
