「BlueHammer」と呼ばれる新たに発見されたゼロデイ脆弱性が公開された。
Windows Defender に関連するこの脆弱性は、攻撃者がローカル権限昇格(LPE)を実現し、侵害されたシステムへの完全な管理者アクセスを獲得する可能性があります。
Microsoft からまだパッチがリリースされていないため、この公開により、Windows ユーザーは一時的に悪用の危険にさらされています。
BlueHammer 脆弱性は、Chaotic Eclipse というアノニマスで活動するセキュリティ研究者によって明かされました。
このエクスプロイトは、Windows プロセスが特定の権限をどのように処理するかの脆弱性をターゲットにしており、限定的な低レベルのシステムアクセスを持つ攻撃者が、自分の権限を完全な管理者権限に昇格させることを可能にします。
Windows Defender 0-Day
攻撃者がこのレベルのアクセスを達成すると、マシンを完全に侵害することができます。
これにより、脅威アクターはセキュリティソフトウェアを無効化し、永続的なマルウェアをインストールし、機密データにアクセスし、企業ネットワーク全体に横展開することができます。
著名なセキュリティ専門家 Will Dormann はこのエクスプロイトをテストし、その機能を公開確認しました。Dormann は、エクスプロイトが毎回完璧に機能するとは限らないが、実際には十分に効果的で、本当の脅威となると指摘しました。
完全な概念実証(PoC)ソースコードが GitHub と個人ブログにアップロードされており、セキュリティ研究者と悪意のあるアクターの両方がすぐにアクセスできるようになっています。
パッチを待たずにこのゼロデイ脆弱性をリリースする決定は、独立した研究者と Microsoft Security Response Center(MSRC)の間の摩擦の増加に起因しています。
研究者の公開声明によれば、パッチなしでエクスプロイトを公開することは、MSRC が現在脆弱性報告をどのように処理するかへの直接的な応答でした。
Will Dormann はこれらの懸念に同調し、Microsoft とセキュリティコミュニティの関係悪化に光を当てました。
彼は、Microsoft の最近のコスト削減措置により、高度なスキルを持つセキュリティトリアージ分析者の解雇につながったと指摘しました。その代わりに、複雑な技術的エクスプロイトを調査するのではなく、フローチャートに厳密に従うサポートスタッフに依存していると言われています。
Dormann は、研究者がエクスプロイトのビデオデモンストレーションを提供することを拒否したため、Microsoft が単に BlueHammer レポートを却下した可能性があると推測しました。
ビデオ証拠の要求は、MSRC の投稿に対する厳格な官僚的要件になったと報告されており、技術専門家の間で不満を引き起こしています。
執筆時点で、Microsoft は BlueHammer 脆弱性の公式パッチをリリースしていません。
エクスプロイトコードが現在公開されているため、ランサムウェアオペレーターおよび他の脅威アクターは、この LPE 技術を簡単に積極的な攻撃キャンペーンに統合することができます。
公式なセキュリティアップデートが展開されるまで、セキュリティチームは不正な権限昇格の試みについて環境を注意深く監視する必要があります。
組織は最小権限の原則を実施し、不要なユーザーアクセスを制限し、Windows マシンで異常な動作パターンを検出するために高度なエンドポイント検出ツールに依存することをお勧めします。
翻訳元: https://gbhackers.com/windows-defender-0-day-published-online/
