Cisco Talos は、Microsoft Windows インストーラに存在する特権昇格のゼロデイ脆弱性のエクスプロイトからユーザーを保護するため、新しい SNORTⓇ ルールをリリースします。この脆弱性をエクスプロイトすれば、制限付きのユーザーアカウントを持つ攻撃者が権限を昇格させて管理者になることができます。パッチが完全に適用された Windows 11 と Windows Server 2022 も含め、Microsoft Windows のすべてのバージョンに影響します。Talos では、この脆弱性をエクスプロイトしようとするマルウェアのサンプルをすでに検出しています。
Microsoft 社は、CVE-2021-41379 の修正を目的とした更新プログラムを、月例のセキュリティ更新プログラムの一環として 11 月 9 日にリリースしました。この特権昇格の脆弱性を最初に発見したセキュリティ研究者の Abdelhamid Naceri 氏も、同社と協力して対処しています。しかし、Microsoft 社がリリースしたパッチでは脆弱性を修正しきれていません。Naceri 氏は、11 月 22 日に GitHub で概念実証のエクスプロイトコードを公開しています。同氏がリリースしたコードは、Microsoft Edge Elevation Service の任意アクセス制御リスト(DACL)を利用して、システム上の任意の実行ファイルを MSI ファイルに置き換えるというものです。この結果、攻撃者が管理者としてコードを実行できるようになります。
Microsoft 社は当初、脆弱性の重大度を中程度と評価しており、CVSS の基本スコアは 5.5、一時的なスコアは 4.8 となっていました。しかし、実用的な概念実証のエクスプロイトコードがリリースされたことで、今後エクスプロイトが増加するのは間違いありません。なお、本ブログの公開時点では、同社からパッチは提供されていません。
Snort ルール SID 58635 および 58636 は、この脆弱性のエクスプロイトからユーザーを保護します。Cisco Secure Firewall のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
本稿は 2021 年 11 月 23 日に Talos Group のブログに投稿された「Attackers exploiting zero-day vulnerability in Windows Installer — Here’s what you need to know and Talos’ coverage」の抄訳です。