「BlueHammer」として追跡されているWindows Defenderの新たに開示されたゼロデイ脆弱性は、エクスプロイトコードが公開された後、サイバーセキュリティコミュニティ全体で深刻な懸念を引き起こしており、攻撃者は影響を受けるシステムに対する完全な管理制御を取得することができます。
この脆弱性により、ローカル権限昇格(LPE)が可能になります。これは重大な欠陥タイプであり、限定的な初期アクセスを持つ攻撃者がマシン上の最高レベルに権限を昇格させることができます。
管理者権限を取得すると、脅威行為者はシステムを完全に制御できるようになります。
BlueHammerは「Chaotic Eclipse」というエイリアスで活動するセキュリティ研究者によって発見され、公開されました。
この欠陥はWindowsがどのように特定の権限チェックを処理するかの中に存在し、低特権ユーザーまたはマルウェアがアクセスを昇格させるためのパスウェイを作成します。
このタイプの弱点は、攻撃者がしばしば最小限のアクセスから始まり、その後足がかりを拡大するエンタープライズ環境で特に危険です。
エクスプロイトがすべての試行で成功するとは限りませんが、その一貫性は攻撃者がアクティブなキャンペーンでそれを武器化するのに十分です。
GitHubと個人ブログ上の概念実証(PoC)コードの公開は、リスクを大幅に増加させています。
脅威行為者とランサムウェアグループは、エクスプロイトをツールキットに統合し、潜在的な攻撃を加速させることができるようになりました。Microsoftから現在パッチが利用可能でないため、システムは引き続き危険にさらされています。
この開示は、独立したセキュリティ研究者とMicrosoft Security Response Center(MSRC)の間で増加する緊張も浮き彫りにしました。
公開声明によると、研究者はMicrosoftの提出処理に対する不満の理由により、調整された開示なしに脆弱性を公開することを選択しました。
Dormannはこれらの懸念を支持し、MSRC内での最近の運用上の変更を指摘しました。
彼は経験豊富な脆弱性分析者がより特殊でない人員に置き換えられており、厳格なプロセスに依存していると示唆しており、これは有効なレポートが却下される可能性があります。
報告されている1つの問題には、ビデオ証明提出の厳格な要件が含まれています。これは一部の研究者は不要で負担が大きいと見なしています。
執筆時点で、MicrosoftはBlueHammerに対する公式なセキュリティ更新またはミティゲーションガイダンスを発行していません。
これは組織、特にWindows Defenderを主要なセキュリティコントロールとして大きく頼っている組織を脆弱な立場に置いています。
セキュリティチームは積極的な防御措置を講じることをお勧めします。通常でない権限昇格アクティビティの監視は重要であり、システム全体でのアクセス権限の最小化の実施も同様です。
不要なユーザー権限の制限と、高度なエンドポイント検出と対応(EDR)ソリューションのデプロイは、疑わしい動作を早期に特定するのに役立ちます。
BlueHammerの開示は、特にエクスプロイトコードが公開されている場合、パッチが適用されていないゼロデイ脆弱性に関連するリスクを強調しており、攻撃者に短期的には明確な利点を与えます。
翻訳元: https://cyberpress.org/releases-windows-defender-0-day/