マイクロソフトがWindows Defenderの12年前の権限昇格脆弱性を修正

2021年2月、MicrosoftはMicrosoft Defender Antivirus（旧Windows Defender）における特権昇格バグを修正しました。このバグにより、脅威アクターが脆弱なホストで管理者権限を取得し、事前にインストールされたセキュリティ製品を無効化する可能性がありました。この問題を明らかにしたSentinelOneの専門家は、 報告しています この欠陥は2009年に導入され、12年以上未公開のままでした。

Windows Defender脆弱性の説明

問題（CVE-2021-24092）は、BTR.sysドライバーに関連したミスコンフィギュレーションに由来します。このドライバーは感染したマシンで悪意のあるソフトウェアに関連するファイルシステムおよびレジストリのリソースを削除するために機能します。ドライバーには検証リンクがないため、攻撃者は悪意のあるものを作成して任意のファイルを上書きすることができます。結果的に、CVE-2021-24092はユーザーの操作を必要としない様々な侵入方法でローカルの無権限のハッカーによって悪用される可能性があります。

セキュリティアナリストは、このドライバーが通常ハードドライブに存在せず、必要に応じてのみ有効化されるため、何年も未公開のままだったと考えています。Windows Defenderにこの欠陥が導入されてから長い時間が経っていますが、現場での悪用の兆候はありません。それでも研究者は、公開後にパッチが適用されていないユーザーに対して、このセキュリティホールを悪用しようとする敵対者が現れると信じています。

CVE-2021-24092：検出と緩和

SentinelOneは2020年11月にMicrosoft Security Response Centerにこの脆弱性を報告し、ベンダーは2021年2月9日のリリースでこれにパッチを当てました。このバグに影響を受けた最後のMicrosoft Malware Protection Engineのバージョンは1.1.17700.4です。この問題が修正された最初のバージョンは1.1.17800.5です。このパッチはMicrosoft Malware Protection Engineバージョン1.1.17800.5のリリースで導入されたため、このバージョン（またはそれ以降）をインストールしていれば保護されています。

特筆すべきは、CVE-2021-24092のパッチは、影響を受けるWindows Defenderバージョンをサポートするすべてのホストに対して自動的にインストールされることです。Windows Defenderアップデートが有効になっているか確認し、自動アップグレードを進めてください。あるいは、即時の軽減措置として手動で修正を適用することもできます。

CVE-2021-24092に関連する悪意のある活動を特定するために、SOC Primeから専用のSigmaルールをダウンロードすることができます：

https://tdm.socprime.com/tdm/info/BHIyVCep9T3w/ikMPrHcBTwmKwLA9LQs8/

このルールは以下のプラットフォームに翻訳されています：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

EDR: Microsoft Defender ATP, Carbon Black, SentinelOne

MITRE ATT&CK:

Tactics: 特権昇格

Techniques: 特権昇格のための悪用 (T1068)

Threat Detection Marketplaceに有料アクセスがない限り、このSigmaルールはコミュニティサブスクリプションの無料トライアルを有効化することで解除することができます。

出現する脅威に対する最も関連性の高い検出を求めて、ブログをお見逃しなく。CVE-2021-24092に関連する追加ルールがこの記事に追加される予定です。

Threat Detection Marketplaceにサインアップしてください、世界をリードするコンテンツ・アズ・ア・サービス（CaaS）プラットフォームであり、セキュリティパフォーマーをサポートしながら、大規模データ、ログ、クラウドテレメトリをサイバーセキュリティシグナルに翻訳するための検出、洗練、統合、自動化アルゴリズムを提供しています。選択したSIEM、EDR、NSM、SOARツールに厳選されたSOCコンテンツを直接ストリーミングし、脅威検出能力を向上させます。独自にSigmaルールを作成し、グローバルな脅威ハンティングコミュニティをサポートしたいですか？ 弊社のThreat Bounty Programに参加してください！