【活用ガイド】

JVNDB-2018-006728

Microsoft Windows タスクスケジューラの ALPC インターフェースにおけるローカル権限昇格の脆弱性

概要

Microsoft Windows タスクスケジューラの ALPC インターフェースには、ローカル権限昇格が可能になる脆弱性が存在します。ローカルユーザによって、SYSTEM 権限が取得される可能性があります。

Microsoft Windows タスクスケジューラの SchRpcSetSecurity API には、Advanced Local Procedure Call (ALPC) の処理に脆弱性が存在します。認証されたユーザによって、ACL (Access Control List、アクセス制御リスト) で保護されているファイルを上書きされ、SYSTEM 権限を取得される可能性があります。
CERT/CC では、公開されたエクスプロイトコードが 64-bit Windows 10 および Windows Server 2016 Server で動作すること、さらに若干の変更により 32-bit Windows 10 で動作することを確認しています。他のバージョンの Windows でも動作する可能性があります。
なお、本脆弱性を悪用したマルウェアが確認されています。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 7.8 (重要) [JPCERT/CC値]
  • 攻撃元区分: ローカル
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 低
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): 高
  • 可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 6.8 (警告) [JPCERT/CC値]
  • 攻撃元区分: ローカル
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 単一
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的
影響を受けるシステム


マイクロソフト
  • Windows タスクスケジューラ

想定される影響

当該製品のローカルユーザによって、SYSTEM 権限を取得される可能性があります。
対策

[アップデートする]
Microsoft が提供する情報をもとに、Windows アップデートを適用してください。
Microsoft は本脆弱性への対応として CVE-2018-8440 | Windows ALPC の特権の昇格の脆弱性 を提供しています。

[ワークアラウンドを実施する]
Microsoft Sysmon を使用して攻撃コードの実行を検知する
Kevin Beaumont 氏は、本脆弱性を悪用する攻撃コードの実行を Microsoft Sysmon を使用して検出する方法を解説しています (DoublePulsar)。

ディレクトリ C:\Windows\Tasks にアクセス制御リストを設定する
Karsten Nilsen 氏は、本脆弱性に対する以下のようなワークアラウンドを提案しています。
管理者権限で起動したプロンプトから次のコマンドを実行します。

icacls c:\windows\tasks /remove:g "Authenticated Users"
icacls c:\windows\tasks /deny system:(OI)(CI)(WD,WDAC)

また、Microsoft から提供された本脆弱性の修正をシステムに適用する際には、想定外の副作用を防ぐためにこれらの変更を元に戻しておいたほうが良いでしょう。変更を元に戻す場合には次のコマンドを実行します。

icacls c:\windows\tasks /remove:d system
icacls c:\windows\tasks /grant:r "Authenticated Users":(RX,WD)

注意: このワークアラウンドは、Microsoft から承認された方法ではありません。
このアクセス制御リストの設定を行う際には、システムの通常の利用に影響が出ないことを十分確認してから実施してください。
CERT/CC で行ったテストでは、これらのアクセス制御リストを設定することにより攻撃コードの実行はブロックされました。また、既存のタスクの実行や新たなタスクの登録への悪影響は見つかりませんでした。
ただし、レガシーなタスクスケジューラインタフェース経由でのタスク登録、SCCM (System Center Configuration Manager) や SCEP (System Center Endpoint Protection) に関連するタスクなどに副作用を及ぼす可能性があります。本ワークアラウンドを実施する際には、事前に十分な検証を行ってください。
ベンダ情報

マイクロソフト
CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2018-8440
参考情報

  1. JVN : JVNVU#96222149
  2. National Vulnerability Database (NVD) : CVE-2018-8440
  3. JPCERT 緊急報告 : JPCERT-AT-2018-0038
  4. US-CERT Vulnerability Note : VU#906424
  5. 関連文書 : randomrepo/PoC-LPE.rar
  6. 関連文書 : Task Scheduler ALPC exploit high level analysis
  7. 関連文書 : Short term solution on VU#906424
  8. 関連文書 : PowerPool malware exploits zero-day vulnerability
更新履歴

  • [2018年08月30日]
      掲載
  • [2018年09月04日]
      対策:内容を更新
  • [2018年09月13日]
      概要:内容を更新
      対策:内容を更新
      ベンダ情報:Security Update Guide (CVE-2018-8440 | Windows ALPC Elevation of Privilege Vulnerability) を追加
      ベンダ情報:Microsoft Developer Network (3.2.5.4.5 SchRpcSetSecurity (Opnum 4)) を追加
      参考情報:JPCERT 緊急報告 (JPCERT-AT-2018-0038) を追加
      参考情報:Common Vulnerabilities and Exposures (CVE)(CVE-2018-8440) を追加
      参考情報:関連文書 (Short term solution on VU#906424) を追加
      参考情報:関連文書 (PowerPool malware exploits zero-day vulnerability) を追加
  • [2019年07月25日]
      参考情報:National Vulnerability Database (NVD) (CVE-2018-8440) を追加

公表日2018/08/27
登録日2018/08/30
最終更新日2019/07/25