Windows向けJumpCloud Remote Assistの脆弱性により、攻撃者が権限を昇格させ、エンドポイントを乗っ取る可能性があります。
このバグは、アンインストールおよび更新の処理中に、アプリケーションがユーザーが制御できるディレクトリ上で特権操作を実行するアンインストーラーを呼び出すことが原因で存在します。
この欠陥はCVE-2025-34352(CVSSスコア8.5)として追跡されており、JumpCloud Agentの削除または更新の際にトリガーされる可能性があります。
「Remote Assistのアンインストーラーは、信頼できるディレクトリであることを検証したり、既に存在する場合にACLをリセットしたりすることなく、ユーザーが書き込み可能な%TEMP%配下の予測可能なファイルに対して、特権での作成、書き込み、実行、削除の操作を行います」と、NISTのアドバイザリには記されています。
これにより、権限のないローカル攻撃者が事前にそのディレクトリを作成でき、アンインストーラーはその後、NT AUTHORITY\SYSTEM権限で操作を実行してしまいます。
この脆弱性を特定したXM Cyberによると、攻撃者はシンボリックリンクやマウントポイントのリダイレクトを利用して、アンインストーラーに保護されたシステムファイル上で操作を行わせることが可能です。
同サイバーセキュリティ企業によれば、JumpCloud Agentは環境変数を用いてRemote Assistフォルダーへのフルパスを動的に構築し、そのフォルダー内でアンインストーラーのバイナリを探します。
エージェントが削除されるたびに、JumpCloud Remote Assistおよびその他すべてのコンポーネントが削除されます。
要するに、特権を持つJumpCloudプロセスが、信頼できないパスから、予測可能なファイル名のファイルに対して削除、書き込み、実行の操作を行います。
マウントポイントとシンボリックリンクを使用することで、攻撃者は特権操作をリダイレクトし、システムファイルを含む任意のファイルに任意のデータを書き込めます。これには2つの結果があります。
一方では、マウントポイント/オブジェクトマネージャー名前空間攻撃を利用することで、脅威アクターはSystem32\cng.sysドライバーにデータを書き込み、無限にブルースクリーン(BSOD)が発生する状態を引き起こす可能性があります。
もう一方では、攻撃者がTime-of-Check to Time-of-Use(TOCTOU)の競合状態を悪用してConfig.Msiフォルダーの内容を削除して置き換え、その後Windows InstallerのLPE手法を用いてSystemシェルを実行することが可能です。
この脆弱性は、Windows向けJumpCloud Remote Assistのバージョン0.317.0で修正されました。組織は可能な限り早急に同バージョンへ更新することが推奨されます。
「ベンダーリスク評価として、特権プロセスが、フォルダーのアクセス制御リスト(ACL)を明示的に設定または上書きすることなく、(%TEMP%のような)ユーザー書き込み可能なディレクトリに対して任意のコードを実行したり、読み取りや書き込みを行ったりしていないことを確認してください」とXM Cyberは述べています。
翻訳元: https://www.securityweek.com/jumpcloud-remote-assist-vulnerability-can-expose-systems-to-takeover/
