Kaspersky Labは3月14日(現地時間)、「A patched Windows attack surface is still exploitable|Securelist」において、Windowsの一部の脆弱性は修正パッチが公開されてからも悪用が続いているとして注意を呼びかけた。これら脆弱性は悪用が容易であることから、脅威アクターに好まれている可能性があると指摘されている。
悪用が続く脆弱性の一覧
Kaspersky Labが指摘した悪用が続いている脆弱性は次のとおり。
- CVE-2022-22047、CVE-2022-37989 - Windows Client Server Run-time Subsystem(CSRSS)における特権昇格の脆弱性
- CVE-2022-29104、CVE-2022-41073 - Windowsプリントスプーラにおける特権昇格の脆弱性
- CVE-2023-36874 - Windowsエラー報告サービスにおける特権昇格の脆弱性
- CVE-2023-35359 - Windowsカーネルにおける特権昇格の脆弱性
- CVE-2021-26415 - Windowsインストーラーにおける特権昇格の脆弱性
脆弱性悪用の検出方法と対策
Kaspersky Labはこれら脆弱性の悪用には共通の動作が確認できるとして、その検出方法を次のように解説している。
- ほとんどの攻撃においてC:ドライブ内に書込み可能なフォルダを作成する。このフォルダはC:ドライブの既存の構造を模倣するため、「C:\****\Windows\System32」や「C:\****\Windows\WinSxS」のようなフォルダが存在する場合は侵害されている可能性がある
- 攻撃者は作成した書き込み可能フォルダの「Windows\WinSxS」に、元の「C:\Windows\WinSxS」からマニフェストファイルをコピーして変更するため、この違いを検出する
- 特にLoadFromなどの文書化されていないXML属性を含むマニフェストファイルや、name属性にパストラバーサルを含むマニフェストファイルの存在は悪用の兆候を示している
- 攻撃者は元のシステムドライブ(\??\C:)から書き込み可能フォルダー(\GLOBAL??\C:\****)へシンボリックリンクを作成することがあるため、これを検出する
これら脆弱性はすでに修正パッチが提供されているため、システムを最新の状態に更新することで攻撃を回避することができる。脅威アクターは発見した脆弱性を長期間悪用する傾向があることから、コンピュータを管理するユーザーはオペレーティングシステムに関係なくシステムを常に最新の状態に維持することが望まれている。