JumpCloud Remote Assist for Windowsエージェントに影響する重大なセキュリティ脆弱性が特定され、管理対象エンドポイントがローカル権限昇格およびサービス拒否(DoS)攻撃にさらされる可能性があります。
CVE-2025-34352として追跡されているこの欠陥は、0.317.0より前にリリースされたエージェントのすべてのバージョンに影響し、アンインストール時に実行される安全でないファイル操作に起因します。
XM Cyberのサイバーセキュリティ研究者によって発見されたこの問題により、低権限のローカルユーザーであっても、NT AUTHORITY\SYSTEM権限で動作するエージェントが実行するファイルの書き込みおよび削除操作を操作できてしまいます。
予測可能なファイル名とユーザーが書き込み可能なディレクトリを悪用することで、攻撃者はWindowsシステムを完全に掌握したり、使用不能にしたりできます。
リスクが重大である理由
この脆弱性は、JumpCloudエージェントのアンインストール手順の分析中に明らかになりました。
主要エージェントが削除されると、Remote Assistコンポーネントの削除が自動的にトリガーされます。この二次アンインストーラーは、標準ユーザーが完全に制御できる場所であるWindowsの%TEMP%ディレクトリ内で複数のファイル操作を実行します。
アンインストーラーはSYSTEMとして実行されながら、このディレクトリからファイルを削除・書き込み・実行するため、リンク追従攻撃に対して脆弱になります。シンボリックリンクやマウントポイントにより、これらの特権操作を保護されたシステム領域へリダイレクトできます。
Windowsエンドポイントセキュリティの詳細はこちら:Microsoft、2025年最後のPatch Tuesdayで3件のゼロデイを修正
JumpCloudはクラウドベースのアイデンティティおよびデバイス管理プラットフォームで、160か国にわたる18万以上の組織で利用されています。同社のWindowsエージェントは広く展開され、ポリシーの適用とデバイス管理のために最高レベルのシステム権限で動作します。
この欠陥の悪用に成功すると、攻撃者はエンドポイントに対して永続的なSYSTEMレベルのアクセスを得られます。
XM Cyberが確認したあるシナリオでは、任意のファイル書き込みによって重要なWindowsドライバーが破損し、ブルースクリーンのクラッシュが繰り返し発生しました。 別のシナリオでは、攻撃者が保護されたシステムディレクトリを削除し、標準のWindows Installerの挙動を悪用してSYSTEMシェルを取得できました。
開示と緩和策
この問題はJumpCloudに責任をもって開示され、同社は調査結果を検証し、Remote Assistエージェントの修正版をリリースしました。影響を受けるバージョンを運用している組織は、直ちに更新するよう推奨されます。
JumpCloudの広報担当者はInfosecurity, に対し、「JumpCloudのRemote Assist Agent(RAA)の旧バージョンで発見され、修正されたセキュリティ脆弱性(CVE-2025-34352)について、JumpCloudは認識していました。お客様の環境の安全確保は最優先事項であるため、JumpCloudは10月下旬にすべてのお客様のRAAバージョンを0.319.0へ自動的にアップグレードしました」と述べました。
アップグレード後、JumpCloudは包括的な監査を実施し、すべてのお客様環境にパッチが適用されていることを確認しました。
XM Cyber の調査は、企業にとってより広いセキュリティ上の教訓も強調しています。 特権エージェントは、アクセス制御を明示的に強化しない限り、ユーザーが書き込み可能なパスとのやり取りを避けるべきです。
インストーラーのロジックにおける古くから知られた弱点であっても、広く展開されている管理ソフトウェアに組み込まれている場合、システム全体の侵害へ直結する経路となり得ます。
翻訳元: https://www.infosecurity-magazine.com/news/jumpcloud-windows-agent-flaw/
