Microsoft カーネル権限昇格の 0day 脆弱性
4 月 12 日に Microsoft は最新の脆弱性パッチをリリースしました. この発表でのカーネル特権昇格の脆弱性 CVE-2023-28252 は、安恒情報、カスペルスキー、マンディアントによって同時に捕捉されました. また、安恒情報が捕捉に成功したのはこれが初めてです.野生の 4 コインで 0 日で権利が上がります!
Guard Lab の専門家の分析によると、この脆弱性は Windows 7、Windows 8.1、Windows 10、Windows 11 などのオペレーティング システムと、Windows Server 2008、Windows Server 2012、Windows Server 2016、Windows Server 2019、および Windows Server 2022。範囲はさらに広くなります。
ここで、関連部門やメーカーに対しても、近い将来にこのような Windows カーネル権限昇格の脆弱性が発生しないように注意するよう注意を喚起します。現在、安恒情報の多くの製品にはすでにこの脆弱性検出機能が搭載されています。
カーネル権限昇格 0day 検出
高度な脅威攻撃兵器における重要な戦略兵器として、0day/1day は価値が高く、攻撃の重要なリンクにおいて重要な役割を果たすことができます。
侵入後の攻撃者の主な目的の 1 つである特権昇格は、より大きな権限でターゲット オブジェクトにアクセスして制御することができ、通常はシステムの弱点、構成ミス、抜け穴を利用します。
カーネル特権昇格を悪用すると、攻撃者は低特権のユーザー モードから高特権のカーネル モードに侵入し、制御されているコンピュータのリソースを完全に制御することができます。
Anheng Information Sandbox Engine は、カーネル特権昇格プロセス、パフォーマンスへの影響、重要な証拠などの動作に関する考慮事項に基づいて、特定の脆弱性に基づくことなく、一般モードでカーネル特権昇格を検出できる一連の一般的な検出ソリューションを開発しました。
したがって、0day/1day カーネル権限昇格の脆弱性であっても、Anheng Information Sandbox Engine は簡単に検出できます。カーネル権限昇格のゼロデイ セキュリティ脅威に直面した場合、コア検出モジュールはアップグレードや追加の戦略を必要とせずに検出できます。
同時に、Anheng Information Sandbox Engine は、動的および静的なセキュリティ ポリシー検出、機械学習動作検出、その他のモジュールを通じて、この脅威に対して動的および静的な双方向の脅威検出を実行することもできます。
検出例
4 月 12 日に、Microsoft は最新の Windows パッチをリリースしました。カーネル特権昇格の脆弱性 CVE-2023-28252 が発見されました。この脆弱性は、実際に悪用されているとマークされています。つまり、実際の攻撃シナリオで悪用されています。この脆弱性により、攻撃者はユーザーモード権限をシステム権限に直接昇格させることができます。
このカーネル権限昇格の脆弱性の相関分析プロセス中に、Anheng Online Cloud Sandbox は、有名な海外ソフトウェア会社のソフトウェア コンポーネントを装い、未検証の署名を使用し、CryptOne を通じて検証した別の疑わしい野生サンプルを発見しました。 。この脆弱性が実際の戦闘で悪用されたことを示すさまざまな兆候があります。
Anheng 情報サンドボックス エンジンの一般的なカーネル権限昇格検出フレームワークでこれを検出でき、ユーザーは次のリンクからその影響を確認できます。
https://sandbox.dbappsecurity.com.cn
図に示すように、サンプルは検出環境で権限昇格操作を実行し、正常に検出されました。
動的検出ルールにより、サンプルの実行後、ユーザーの権限が低い権限からシステム権限に昇格されることがわかりました。
さらに、サンプルが脆弱性の悪用に失敗してブルー スクリーンをトリガーした場合も、ルールにヒットして正常に検出される可能性があります。
安恒情報の各種製品がテストをサポート
Mingyu APT 攻撃早期警戒プラットフォーム
Anheng Information Mingyu APT 攻撃早期警告プラットフォームに組み込まれた orca サンドボックスは、Windows カーネル特権昇格の 0 日/1 日の検出を効果的にサポートします。orca サンドボックスは、業界初の「クジラ飲み込み」Windows コンテナ技術を採用し、軽量リソース分離技術を革新的に適用して、 Windows 展開の制限を乗り越え、単一の仮想マシンのマルチタスク並列分析を実現し、動的分析の効率を 2 倍に高めます。強力な動作捕捉能力と優れた抗エスケープ能力の特性を備えています。
エンドポイント セキュリティおよびウイルス対策システム (EDR)
Anheng EDR は、対応する検出戦略を更新しました。Anheng EDR を使用するユーザーは、グローバル ターミナルに存在する脆弱性を検出し、自動修復をサポートできます。また、Anheng EDR クライアントを通じて、ワンクリックで関連する脆弱性をスキャンして修復することもできます。
廃棄に関するアドバイス
この脆弱性の広範な影響を考慮して、すべてのユーザーが適時に更新パッチをインストールすることをお勧めします。
Windowsの自動アップデート
Windows システムでは、デフォルトで Microsoft Update が有効になっており、利用可能な更新が検出されると、その更新が自動的にダウンロードされ、次回の起動時にインストールされます。次の手順で更新プログラムをすばやくインストールすることもできます。 1. [スタート メニュー] をクリックするか、Windows ショートカット キーを押し、クリックして [設定] に入ります。 2. [更新とセキュリティ] を選択し、[Windows Update] を入力します (Windows Server 2012)および Windows Server 2012 R2 コントロール パネルから「Windows Update」に入ることができます。手順は「コントロール パネル」 -> 「システムとセキュリティ」 -> 「Windows Update」です。 3. 「更新プログラムの確認」を選択し、更新プログラムが表示されるまで待ちます。システムが利用可能なアップデートを自動的に確認してダウンロードします。 4. コンピュータを再起動し、アップデートをインストールします。
システムの再起動後、「Windows Update」→「更新履歴の表示」で、更新プログラムが正常にインストールされたかどうかを確認できます。正常にインストールされなかった更新プログラムの場合は、更新名をクリックして Microsoft 公式更新プログラムの説明リンクを入力し、最新の SSU 名をクリックして新しいリンクの「Microsoft Update カタログ」をクリックして、ターゲットに適用できるパッチを選択します。新しいリンクにあるシステムをダウンロードしてインストールします。
パッチを手動でインストールする
さらに、自動的に更新できないシステム バージョンの場合は、次のリンクを参照して、システムに適用できる 4 月のパッチをダウンロードしてインストールできます。
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28252
いいね + フォローを獲得し、WeChat 公開アカウントCainiaoxue Penetration に注目し、最新記事を入手してください