Windowsのインストーラーから管理者権限を取得できる脆弱性が発見される、攻撃の回避策は？

Windowsにソフトウェアを導入するためのインストーラーに、管理者権限を取得できる脆弱(ぜいじゃく)性があることが判明しました。発見者によるとMicrosoftのパッチを待つ以外に根本的な解決方法は存在しないとのこと。記事作成時点では発見された脆弱性を用いた攻撃が既に確認されており十分な警戒が必要です。

GitHub - klinix5/InstallerFileTakeOver
https://github.com/klinix5/InstallerFileTakeOver

Malware now trying to exploit new Windows Installer zero-day
https://www.bleepingcomputer.com/news/security/malware-now-trying-to-exploit-new-windows-installer-zero-day/

Cisco Talos Intelligence Group - Comprehensive Threat Intelligence: Attackers exploiting zero-day vulnerability in Windows Installer — Here’s what you need to know and Talos’ coverage
http://blog.talosintelligence.com/2021/11/attackers-exploiting-zero-day.html

Windowsの管理者権限を取得できる脆弱性を発見したのは、セキュリティ研究者のAbdelhamid Naceri氏です。Naceri氏はインストーラーに関連する脆弱性を発見してMicrosoftに報告し、Microsoftは2021年11月9日に脆弱性を「Windows インストーラーの特権の昇格の脆弱性(CVE-2021-41379)」として登録しました。MicrosoftはCVE-2021-41379の脅威について「攻撃者は、システム上の標的となるファイルを削除することしかできません。ファイルの内容を閲覧または変更する特権は得られません」と記し、「悪用される可能性は低い」と評価。CVE-2021-41379は2021年11月10日に公開したセキュリティ更新プログラムで修正されたはずでした。

しかし、Naceri氏がMicrosoftによる修正を解析した結果、正しく修正されていないことが判明。加えて、脆弱性の脅威はMicrosoftの想定よりも深刻で、攻撃者がWindowsの管理者権限を取得できることが明らかになりました。Naceri氏はGitHubで管理者権限の取得を可能とする概念実証コードを公開しており、以下のムービーでは実際にセキュリティ関連メディアのBleeping Computerが概念実証コードを用いてWindowsの管理者権限を取得した様子を確認できます。


通常のユーザー権限しか持っていない状態で概念実証コード「InstallerFileTakeOver.exe」を実行すると……

管理者権限を取得できてしまいました。

Naceri氏は、グループポリシーの変更による対策を試みたものの失敗したことをTwitterで報告しています。また、Naceri氏は概念実証コードを公開した投稿の中で「この投稿を記している時点で最善の回避策は、Microsoftによる修正パッチの公開を待つことです」と述べています。

セキュリティ企業のCiscoは公式ブログの中で「この脆弱性は、完全にパッチが適用されたWindows 11やWindows Server 2022を含む、Microsoft Windowsの全バージョンに影響を及ぼします」と述べて、Naceri氏が発見した脆弱性の影響の広さを強調しています。加えて「私たちは、この脆弱性を利用しようとしているマルウェアをすでに検出しています」と、既に問題の脆弱性が攻撃に使われていることを明かしています。