Windowsインストーラーゼロデイ(CVE-2021-41379)エクスプロイトの検出
目次:
脅威行為者にとってのラッキーな瞬間であり、サイバー防御者にとってはさらに大きな頭痛の種です!2021年11月22日、セキュリティ研究者のAbdelhamid Naceriが、新しいWindows Installerのゼロデイ脆弱性に対する完全機能の概念実証(PoC)エクスプロイトを公開しました。この欠陥(CVE-2021-41379)は、Windows 10、Windows 11、およびWindows Serverを実行する任意のデバイスでSYSTEM特権を取得することを可能にします。当然のことながら、この有名なセキュリティ問題を利用した攻撃が野放しにされるのに時間はかかりませんでした。
InstallerFileTakeOver PoC for CVE-2021-41379
問題の脆弱性は、Windows Installerの特権昇格(EoP)バグで、最初は Microsoftによって2021年11月に修正されました。しかし、このバグは適切に修正されておらず、問題を明らかにした研究者のAbdelhamid Naceriが保護を回避する方法を見つけました。さらに悪いことに、彼の調査中に、Naceriは現在サポートされているすべてのWindowsバージョンに影響を与えるはるかに重大なEoPの不具合を発見しました。 by Microsoft in November 2021. Yet, the bug was not fixed properly, which allowed Abdelhamid Naceri, the researcher who revealed the issue, to find a way to overcome the protections. What is worse, during his investigation, Naceri discovered a much more severe EoP glitch that affects all currently supported Windows versions.
彼の発見に基づいて、Naceri は“InstallerFileTakeOver”という名前の完全なPoCエクスプロイトを公開しました。これを悪用すると、WindowsマシンにEdgeがインストールされている状態でログインしていると、ハッカーは管理者特権に到達します。この悪意のあるルーチンは、Microsoft Edge Elevation Service DACLを上書きして、システム上の任意の実行可能ファイルをMSIファイルに置き換えることによって行われます。その結果、敵対者は任意の悪意のあるコードを管理者として実行できます。特に、InstallerFileTakeOverは、MSIインストーラ操作の標準ユーザーによる起動を防ぐグループポリシーを回避でき、このPoCエクスプロイトをさらに危険なものにしています。 a fully-fledged PoC exploit, dubbed “InstallerFileTakeOver”. If exploited, the PoC allows hackers to reach admin privileges when logged into a Windows machine with Edge installed. This malicious routine is performed by overwriting Microsoft Edge Elevation Service DACL to replace any executable file on the system with an MSI file. As a result, an adversary can run any malicious code as an administrator. Notably, InstallerFileTakeOver allows bypassing the group policies that prevent “Standard” users from launching MSI installer operations, making the PoC exploit even more dangerous.
Bleeping Computerによる コメントによれば、Naceriは、Microsoftによるバグ報奨金の大幅な減額に抗議するためにCVE-2021-41379の概念実証エクスプロイトを公開することを決定しました。そして、脅威行為者はこれを利用しています。Cisco Talos Security Intelligence and Researchグループは、 ポート が正常に再現されたと報告しています。さらに、研究者たちは、このエクスプロイトが実際に利用されている証拠を提供しています。
CVE-2021-41379の検出と緩和策
このPoCは、完全に修正されたWindows 10、Windows 11、およびWindows Server 2022マシンを含む任意のWindowsデバイスで正常に悪用される可能性があります。専門家は、Windows Installerを壊す可能性があるため、緩和策を試みないことを推奨しています。この状況で最善の判断は、おそらくCVE-2021-41379のパッチが提供されるであろうMicrosoftの12月のパッチ火曜日リリースを待つことです。
Windows Installerゼロデイに関連する悪意のある活動を識別するために、SOC PrimeのDetection as Codeプラットフォームで入手可能な一連の厳選されたSigmaルールをダウンロードできます。
LPE InstallerFileTakeOver PoC CVE-2021-41379
この検出には、次のSIEM&XDRプラットフォーム用の翻訳があります:Azure Sentinel、Splunk、ELK Stack、Sumo Logic、QRadar、Humio、FireEye、LogPoint、Graylog、Regex Grep、Apache Kafka ksqlDB、およびSecuronix。
このルールは、初期アクセスの戦術と公開されたアプリケーションのエクスプロイト技術(T1190)に対応する、最新の ATT&CK® フレームワーク v.10に準拠しています。
可能性のあるInstallerFileTakeOver LPE CVE-2021-41379
この検出には、次のSIEM&XDRプラットフォーム用の翻訳があります:Azure Sentinel、Splunk、ELK Stack、Sumo Logic、ArcSight、QRadar、Humio、FireEye、Microsoft Defender ATP、Carbon Black、LogPoint、Graylog、Regex Grep、Microsoft PowerShell、RSA NetWitness、Apache Kafka ksqlDB、およびSecuronix。
このルールは、特権昇格の戦術を含む最新のMITRE ATT&CKフレームワークv.10に準拠して、特権昇格のためのエクスプロイト技術(T1068)を主な技術として対応しています。
InstallerFileTakeOver LPE CVE-2021-41379ファイル作成イベント
この検出には、次のSIEM&XDRプラットフォーム用の翻訳があります:Azure Sentinel、Chronicle Security、Splunk、ELK Stack、Sumo Logic、ArcSight、QRadar、Humio、FireEye、Microsoft Defender ATP、Carbon Black、LogPoint、Graylog、Regex Grep、Microsoft PowerShell、RSA NetWitness、およびApache Kafka ksqlDB。
このルールは、特権昇格の戦術および特権昇格のためのエクスプロイト技術(T1068)に関する最新のMITRE ATT&CKフレームワークv.10に準拠しています。
可能性のあるInstallerFileTakeOver [CVE-2021-41379]のエクスプロイト活動(ファイルイベント経由)
この検出には、次のSIEM&XDRプラットフォーム用の翻訳があります:Azure Sentinel、Chronicle Security、Splunk、ELK Stack、Sumo Logic、ArcSight、QRadar、Humio、FireEye、Microsoft Defender ATP、Carbon Black、LogPoint、Graylog、Regex Grep、Microsoft PowerShell、RSA NetWitness、Apache Kafka ksqlDB、およびSecuronix。
このルールは、防御回避の戦術に関する最新のMITRE ATT&CKフレームワークv.10に準拠しています。具体的には、ファイルおよびディレクトリの権限変更(T1222)技術に対応し、そのサブ技術であるファイルおよびディレクトリ権限変更:Windowsファイルおよびディレクトリ権限変更(T1222.001)に対応しています。
SOC PrimeのDetection as Codeプラットフォームに無料で登録し、脅威の発見と脅威ハンティングオペレーションを次のレベルに引き上げましょう。20以上のサポートされているSIEMおよびXDR技術内で最新の脅威を即座にハントし、エクスプロイトされた脆弱性およびMITRE ATT&CKマトリックスのコンテキストで最新の攻撃の認識を高め、セキュリティオペレーションを合理化します。世界をより安全な場所にすることに熱心ですか?脅威報奨プログラムに参加し、SigmaおよびYaraルールをThreat Detection Marketplaceリポジトリを介して共有し、あなたの個人的な貢献に対して定期的な報酬を得ましょう!初心者向けのガイドを参照して、 Sigmaルールとは 何か、およびそれをどのように作成するかを学びましょう。
