JumpCloudエージェントがアンインストールをシステムショートカットに変えてしまう

JumpCloudのWindows向けRemote Assistエージェントには重大なローカル権限昇格の欠陥が含まれており、システム全体の侵害を許す可能性がありました。

XM Cyberが開示したこの脆弱性は、Windows NT AUTHORITY\SYSTEM権限で実行されるアンインストールまたは更新フロー中の安全でないファイル操作に起因します。このバグにより、低権限のローカルユーザーが自分の権限を完全なシステム制御まで引き上げたり、企業内マシンでサービス拒否（DoS）状態を引き起こしたりする可能性があります。

JumpCloudのエージェントは、クラウドベースのDirectory-as-a-serviceプラットフォームの一部として企業環境で広く利用されており、Windowsエンドポイント全体でデバイスアクセスとリモートサポート機能を管理します。XM CyberのHillel Pinto氏によると、攻撃者がこの欠陥を悪用するのに必要なのはローカルでの足掛かりだけで、一般にフィッシング、リモートサポートセッション、または開発者マシンから入手可能だといいます。

バージョン0.317より前のRemote Assist for Windowsを実行しているシステムは脆弱であり、リスクを軽減するため直ちに更新する必要があります。

信頼できない一時領域での特権アンインストール

CVE-2025-34352として追跡され、CVSS 10点満点中8.5と評価されたこの欠陥は、Windowsエンドポイントにおける特権操作の不適切な取り扱いがもたらすリスクを浮き彫りにしています。アンインストールまたは更新操作の際、JumpCloudエージェントはシステムレベル権限（Windowsで可能な最高権限）でRemote Assistアンインストーラーを起動します。

しかしそのルーチンは、パスの信頼性を検証したりアクセス制御リスト（ACL）をリセットしたりすることなく、ユーザーが書き込み可能な%TEMP%配下のサブディレクトリ内のファイルに対して作成、書き込み、実行、削除の操作を行います。

アンインストーラーがユーザー制御下の%TEMP%ディレクトリ内で特権ファイル操作を行うため、低権限の攻撃者はそれらの操作を悪用して保護されたシステムファイルを上書きまたは削除できます。

「私たちが目にしているのは、NT AUTHORITY\SYSTEM権限を持つJumpCloudプロセスが、信頼できないパスから予測可能なファイル名のファイルを削除し、書き込み、実行しているということです」とPinto氏はブログ投稿で述べています。「エクスプロイトの中核はリンク追従（Link Following）であり、マウントポイントとシンボリックリンクを利用して、特権I/O操作をリダイレクトします。」

完全な権限昇格とサービス拒否

この脆弱性は、運用上の影響が大きい2つの主要な悪用ベクトルを開きます。すなわち、システムレベルへの完全な権限昇格と、サービス拒否（DoS）です。

ファイルシステムのパスを操作し、競合状態（レースコンディション）を悪用することで、攻撃者はアンインストーラーの操作をリダイレクトし、保護されたインストーラー構成の対象を削除または上書きできます。最終的には、システムレベルのコマンドプロンプトを得る手法を発動させることが可能になります。企業エンドポイントでのシステムアクセスは、実質的にポリシー適用の制御、認証情報窃取の経路、横展開の能力を付与します。

別の方法として、攻撃者は特権プロセスに機密性の高いシステムファイル（ドライバーなど）へ任意のデータを書き込ませて破損させ、ブルースクリーン（BSOD）状態を引き起こすことができます。これはマシンをオフラインにするだけでなく、特に分散した多数の端末群に対しては、相当な復旧作業を要する可能性があります。

Pinto氏は、JumpCloud Remote Assist for Windowsをバージョン0.317.0以降に更新すればこの問題は解消されると述べました。「私とチームはこの脆弱性をJumpCloudに責任ある形で開示し、JumpCloudは調査結果を確認して迅速にパッチをリリースしました。」NISTのNational Vulnerability Database（NVD）はこの欠陥を修正済みとして示し、パッチ適用のためにJumpCloud Agentのリリースノートを参照していますが、現時点では当該ページやJumpCloudのサポートサイトに、この欠陥に特化した注記はありません。JumpCloudはCSOのコメント要請に直ちには回答しませんでした。