Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

3月に修正されたWindowsの脆弱性「CVE-2016-0099」に悪用のおそれ

日本マイクロソフトが、3月の月例セキュリティ更新「MS16-032」で修正した「CVE-2016-0099」を容易に悪用できることがわかった。セキュリティベンダーが注意を呼びかけている。

問題の脆弱性「CVE-2016-0099」は、「Windowsセカンダリログオン」においてローカル環境で特権の昇格が可能となる脆弱性。日本マイクロソフトでは、3月の月例セキュリティ更新で修正した。更新の提供開始時におけるマイクロソフトによる深刻度のレーティングは「重要」。

当時、脆弱性の公開や悪用は確認されておらず、マイクロソフトによる「悪用可能性指標」では、すでに悪用が確認されている場合に指定される「0」から、悪用の最も可能性が低い「3」までの4段階中、「悪用される可能性は低い」とされる「2」に指定。

「重要な更新プログラムとして扱うべき」としてアップデートを推奨していたが、悪用については、悪用コードが作成される可能性は否定できないものの、専門性や攻撃のタイミング、多様な変化などへの対応が必要なため、攻撃者によるコードの作成は困難であり、攻撃者の興味を引くことはないと評価していた。

20160428_sb_001.jpg
検証イメージ(画像:SBT)

しかし、今回脆弱性の公表から約1カ月半が経過し、容易に脆弱性を悪用できる手法が見つかったことになる。脆弱性の再現性について検証を行ったソフトバンク・テクノロジーによれば、「PowerShellスクリプト」を用いた方法だという。

攻撃者がシステムにおいて一般ユーザーでログオンする権限を得ている場合、「PowerShellスクリプト」の実行禁止を回避し、脆弱性を利用して管理者権限を取得されるおそれがある。またマルウェアがPowerShellを悪用するケースが増えており、マルウェアによる脆弱性の悪用も今後懸念される。

ソフトバンク・テクノロジーでは、脆弱性の与える影響が大きいと危険性を指摘。セキュリティアップデートを適用するなど、対策を講じるよう呼びかけている。

(Security NEXT - 2016/04/28 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Nessus」にXSSやセッション固定など2件の脆弱性
「BIND 9.12」にリモートから攻撃可能な脆弱性が2件 - アップデートがリリース
GDPR対応で「WordPress」がアップデート - プライバシー保護機能を強化
「OneDrive」「Skype」などMS製複数アプリに脆弱性 - 修正は次期バージョン以降
「Cisco DNA Center」に複数の深刻な脆弱性 - アップデートがリリース
Adobe、「Acrobat/Reader」におけるPoC公開の脆弱性について訂正
RHELのDHCPクライアントに深刻な脆弱性 - root権限取得のおそれ
同一PDFファイルに「Acrobat/Reader」と「Windows」のゼロデイ脆弱性 - 併用で高い攻撃力
「Adobe Acrobat/Reader」脆弱性、すでに悪用ファイルが流通 - PoC公開も
「VMware NSX SD-WAN」にコマンドインジェクションの脆弱性が判明