SIDfm ブログ

  • 脆弱性情報 /
  • 脆弱性の管理の方法、プロセスの自動化 /
  • パッチ対応の自動化、SOAR

マイクロソフト社の2021年10月のセキュリティ更新プログラムで修正された Win32k のゼロデイ脆弱性 [CVE-2021-40449]

2021.10.28 公開

はじめに

マイクロソフト社は2021年10月13日(日本時間)、2021年10月分のセキュリティ更新プログラムを公開しました。 そのセキュリティ更新プログラムには、当時既に攻撃の発生していた脆弱性 「Win32k の処理に権限を昇格される問題 (CVE-2021-40449 )」 の修正も含まれていました。

このエントリでは、その CVE-2021-40449 の内容や悪用事例について、報告者であるカスペルスキー社の Boris Larin 氏の解説などを元に簡単に触れることにします。 合わせて過去に報告された Win32k の脆弱性とその悪用についてもご紹介します。

Win32k の処理に権限を昇格される問題 (CVE-2021-40449) について

脆弱性発見の経緯

2021年の8月下旬から9月上旬にかけて、カスペルスキー社は Windows サーバ上で権限の昇格を使用する攻撃を検知しました。 この攻撃に使用されたマルウェアを調査する中で、Win32k カーネルドライバにある未知の脆弱性を悪用していることが判明し、このことは直ちにマイクロソフト社に伝えられました。

脆弱性の内容

この脆弱性を悪用された場合、低い権限で実行されるプロセスを、脆弱性によって昇格した権限で実行される可能性があります。

これは Windows の Win32k の処理に問題があるため、解放したメモリ領域にアクセスすることが問題となります。 カスペルスキー社によれば「他の多くの Win32k の脆弱性と同じように、この脆弱性の根本的な原因は、ユーザモードのコールバックを設定し、このコールバックの実行中に予期しない API 関数を実行できることにあります」 とされています。

マイクロソフト社はこの脆弱性を「Win32k の特権の昇格の脆弱性 (CVE-2021-40449)」として扱っています。 同社は、攻撃経路はローカルであるものの、機密性・完全製・可用性の全てに高い影響を及ぼす、と評価しており、CVSSv3 の基本値は 7.8 となっています。

以下は、SIDfm RA 脆弱性管理ツールでの当該脆弱性情報の画面を表示したものです。

CVE-2021-40449

脆弱性を悪用した攻撃

この脆弱性は、「MysterySnail」と名付けられたリモートアクセス型トロイの木馬 (RAT) の投下に利用されています。

MysterySnail には投下されたホストの情報を収集して外部へ送信する機能が備わっています。 カスペルスキー社の見解では 「マルウェアそのものはそれほど洗練されておらず、他の多くのリモートシェルと同様の機能を持っています。 しかしながら実装されたコマンドが比較的多いことと、挿入されたディスクドライブの監視やプロキシとして動作するなど特別な機能によって、どうにか際立っています」 とされています。

MysterySnail は防衛産業、外交機関、および IT 企業を対象とした広範なサイバースパイ活動で利用されています。 なお攻撃の対象となった国や地域は明らかにされていません。

MysterySnail が使用する C&C サーバのアドレスの一部は、中国語を話す APT グループによって 2012 年に使用されており、 コードや機能は APT グループ「IronHusky」の使用するマルウェアとの類似性が見られるとのことです。

過去の Win32k の脆弱性とそれへの攻撃

これまで Win32k の脆弱性はたびたび悪用されてきました。ここでは、過去に悪用された実績のある脆弱性をいくつか見てみましょう。

Win32k の処理に権限を昇格される問題 (CVE-2021-1732 )

CVE-2021-1732

中国の安恒信息 (DBAPPSecurity) 社の脅威インテリジェンスセンターが2020年12月に 確認 した脆弱性で、 南アジアを拠点とする APT グループ「Bitter 」によって悪用されていました。 標的は中国国内とされています。この脆弱性は2021年2月のセキュリティ更新プログラムで修正されました。

Win32k の処理に権限を昇格される問題 (CVE-2019-1458 )

CVE-2019-1458

WizardOpium 作戦」の中で利用されたこの脆弱性は、クライアントPCの制御を完全に奪うために、 Google Chrome に存在する任意のコード実行の問題 (CVE-2019-13720 ) と組み合わされて利用されました。 WizardOpium 作戦では、北朝鮮関連のニュースサイトに関心のある特定のユーザを標的とした「水飲み場攻撃」が展開され、標的とされたユーザがサイトを閲覧した際にマルウェアが投下されていました。

Win32k の処理に権限を昇格される問題 (CVE-2019-0803 )

CVE-2019-0803

米国国家安全保障局 (NSA) は2020年10月に 「中国の国家支援を受けた攻撃者が既知の脆弱性を悪用 」 と題したセキュリティアドバイザリを公表しました。 このセキュリティアドバイザリでは、米国の国家安全保障システム (NSS)、防衛産業基盤 (DIB)、および国防総省 (DoD) の情報ネットワークが、中国の国家支援を受けた攻撃者による戦術と技術にさらされており、 その技術の中には既知の脆弱性も含まれているため、ネットワーク防護者がパッチと回避策の適用を優先することが重要だ、と述べられています。 また、上記の攻撃者に悪用されている既知の脆弱性として「Win32k の処理に権限を昇格される問題 (CVE-2019-0803)」を含む25件のCVE番号がリストアップされています。 なお CVE-2019-0803 の報告者は Alibaba Cloud Intelligence Security Team の Donghai Zhu 氏です。

更新プログラムの適用を

攻撃から組織を守るために、速やかな更新プログラムの適用をおすすめします。

更新履歴

  • 2021年10月28日

    • 新規公開

参照

  1. 「2021 年 10 月のセキュリティ更新プログラム (月例)」, Microsoft Security Response Center, 2021年10月13日
  2. "Win32k Elevation of Privilege Vulnerability | CVE-2021-40449," Microsoft Security Update Guide, Oct 12, 2021.
  3. Boris Larin, Costin Raiu, "MysterySnail attacks with Windows zero-day," Securelist, Oct 12, 2021.
  4. Hugh Aver, "MysterySnail crawls through zero-day vulnerability," Kaspersky Blog, Oct 12, 2021.
  5. 「Microsoft 製品の脆弱性対策について(2021年10月)」, 情報処理推進機構, 2021年10月13日
  6. 「JPCERT-AT-2021-0045 2021年10月マイクロソフトセキュリティ更新プログラムに関する注意喚起」, JPCERT/CC, 2021年10月13日
  7. 猎影实验室, "Windows kernel zero-day exploit (CVE-2021-1732) is used by BITTER APT in targeted attack," 安恒信息情報中心, Feb 10, 2021.
  8. "APT group: Bitter," Thai CERT ETDA, Apr 19, 2021.
  9. "APT group: Operation WizardOpium," Thai CERT ETDA, Jul 2, 2020.
  10. AMR, Global Research & Analysis Team, Kaspersky Lab, "Chrome 0-day exploit CVE-2019-13720 used in Operation WizardOpium," Securelist, Nov 1, 2019.
  11. AMR, Global Research & Analysis Team, Kaspersky Lab, "Windows 0-day exploit CVE-2019-1458 used in Operation WizardOpium," Securelist, Dec 10, 2019.
  12. Boris Larin, Alexey Kulaev, "The zero-day exploits of Operation WizardOpium," Securelist, May 28, 2020.
  13. "Chinese State-Sponsored Actors Exploit Publicly Known Vulnerabilities," National Security Agency, Oct, 2020.
  14. Global Research & Analysis Team, Kaspersky Lab, "APT Trends report Q1 2018," Securelist, Apr 12, 2018.
  15. Global Research & Analysis Team, Kaspersky Lab, "APT Trends report Q3 2017," Securelist, Nov 14, 2017.


脆弱性からの組織防衛のために

あなたの組織で脆弱性が対策されていることを確認できますか? 弊社の継続的脆弱性管理ツール SIDfm VM は、管理対象のホストで使用するソフトウェアで新しく報告された脆弱性のピックアップを行い、影響判定や対策工程の把握まで、脆弱性管理をトータルでカバーいたします。

脆弱性の調査パッチ探しは一切不要!
脆弱性対策を自動化できるので工数大幅削減!
さらに自社の脆弱性状況を全て可視化できるので
管理がグッと楽になる!

それらを全て実現するサービスがあります。

脆弱性管理ツール「SIDfm™ VM」について詳 しくはこちらから

SIDfm VM での脆弱性管理の具体的なプロセス

定期セミナーご案内

  • 脆弱性対策セミナー

    【SIDfmを活用した対策】

    脆弱性の情報収集から対策すべきポイントを特定、優先順位づけ、そして対策後の管理など、専門家が脆弱性対策の全体像を整理し事例などを交えて解説します。

    お申込みはこちらへ
最新の記事

脆弱性と対策のことなら

SIDfm™

  • お問い合わせ

    SIDfm™ 各種サービスの使用法や購入において気になる点などお気軽にお問い合わせ下さい。

    お問い合わせ
  • 無料でトライアル

    SIDfm™ の VM、RA、Biz を実際に無料で使ってみてください。

    無料で試してみる