新たに公表されたローカル特権昇格の手法により、管理者権限を持たないWindowsユーザーが管理者のレジストリハイブを改ざんし、管理者の次回ログイン時にコード実行への道を開くことが可能になります。
セキュリティ研究者のWill Dormann氏は、開発者のNightmareEclipse氏が自身でホストするGitインスタンス上で公開したLegacyHiveという概念実証(PoC)ツールを調査し、この脆弱性について詳細を明らかにしました。
LegacyHiveは、WindowsがユーザーのusrClass.datファイル(ファイルの関連付けとCOMオブジェクトの登録情報を保存する、HKEY_CURRENT_USER\Classesを支えるレジストリハイブ)を読み込む際のアクセス制御の実装が一貫していない点を悪用します。
攻撃の流れは3段階で進行します。攻撃者はまず、管理者以外の任意のユーザーの資格情報でLegacyHive.exeを実行し、最後の引数として管理者のアカウント名を渡します。
続いて攻撃者は、同じ非管理者アカウントでregedit.exeを起動します。この時点で、管理者のClassesハイブがHKEY_USERS配下に読み込まれた状態になり、本来アクセス権限を持たないはずのユーザーからアクセスできる状態になります。
Dormann氏がProcess Monitorで解析した結果、根本原因が明らかになりました。LegacyHiveが非管理者ユーザーとして偽装した状態で、管理者のusrClass.datに最初にアクセスしようとすると、Windowsは正しくACCESS DENIEDエラーを返します。
しかし、ユーザープロファイルサービス(ProfSvc)がNT AUTHORITY\SYSTEM権限を用いてこの操作を再試行し、この2回目の試みは成功してしまいます。
その結果、レジストリハイブは元の非管理者ユーザーからもアクセス可能な状態のまま残り、SYSTEMレベルのフォールバック処理を通じて実質的に不正アクセスが許可されてしまいます。管理者のClassesハイブへの書き込みアクセスが得られれば、攻撃対象領域は大きく広がります。
Dormann氏は簡単な概念実証を披露し、.txtファイルの関連付けを変更してメモ帳の代わりに電卓が起動するようにしてみせ、レジストリの操作によってシステムの想定動作をどのように変えられるかを示しました。
さらに高度な悪用手法としては、ユーザーのログイン時にトリガーされるCOMオブジェクトの登録情報を上書きするというものがあります。
こうしたCOMオブジェクトはログイン中のユーザーのコンテキスト内で実行されるため、攻撃者は標的となる管理者がログインした際に、管理者権限で自動的にコードを実行させることが可能になります。
この手法は通常のログイン操作以外に追加の操作を必要としないため、信頼性が高く発見されにくいという特徴があります。セキュリティ研究者のJames Forshaw氏は、これと似た挙動が以前にも確認されていたと指摘しています。
同氏は以前のProject Zeroのレポートの中で、SYSTEMレベルのClassesキーが任意のコード実行やファイル作成のために乗っ取られ得ることを実証しており、この偽装挙動はWindowsに長年存在してきた設計上の問題に起因している可能性を示唆しています。
これにはMicrosoft Defenderを標的にSYSTEM権限を取得するRoguePlanetや、Windowsの中核的な仕組みに影響を与えることで広く議論を呼んだBlueHammerが含まれます。
RedSunなどの追加の公表事例も、Defenderに関連する特権昇格の経路をさらに示しており、一方でYellowKeyとGreenPlasmaは、保護されたドライブへのアクセスを許してしまうBitLockerの弱点を明らかにしました。
Dormann氏はこの問題を正当なローカル特権昇格の攻撃経路だと位置づけ、低権限ユーザーが管理者の環境に干渉したり乗っ取ったりできてしまう点を強調しています。これは、こうしたアクセス境界が特に重要となる共有環境やマルチユーザーシステムにおいて、とりわけ懸念される事態です。
悪意ある活動は管理者自身のセッション内で発生するため、一見すると通常の動作のように見えてしまい、振る舞い分析に頼るセキュリティチームにとっては検知が難しくなります。
本稿執筆時点で、MicrosoftはCVE番号を割り当てておらず、ユーザープロファイルサービスにおけるこの根本的な問題に対処する修正プログラムも公開していません。
修正プログラムが提供されるまでの間、組織に対しては、信頼できないユーザーのローカルアクセスを制限し、特に管理者プロファイルやCOMオブジェクトの登録情報に関連するレジストリハイブへの不審な変更を監視することが推奨されます。
より強力なプロアクティブ防御で、重大インシデントと金銭的損失を未然に防ぎましょう。15,000のSOCが利用するライブ脅威フィードを統合
翻訳元: https://cyberpress.org/legacyhive-windows-zero-day/