Windowsタスクスケジューラにおける最近のゼロデイ脆弱性CVE-2018-8440により、攻撃者は標的のマシンで権限昇格を実行できるようになります。Microsoftはこの問題に対処するため、2018年8440月11日にセキュリティアドバイザリCVE-2018-XNUMXを公開しました。Microsoftによると、この脆弱性が悪用されると、ローカルシステムのセキュリティコンテキストで任意のコードが実行される可能性があります。
脆弱性について
CVE-2018-8440は、WindowsタスクスケジューラのAdvanced Local Procedure Call(ALPC)インターフェースにおけるローカル権限昇格の脆弱性です。WindowsタスクスケジューラのALPCエンドポイントはSchRpcSetSecurity関数をエクスポートしており、これにより権限チェックなしで任意のDACLを設定できます。この脆弱性を悪用すると、最終的には権限のないローカルユーザーがシステム上の任意のファイルの権限を変更できるようになります。
このエクスプロイトコードの公開は、27年2018月XNUMX日に「SandboxEscaper」というハンドルネームのセキュリティ研究者によってTwitterで発表されました。数日後、このエクスプロイトを利用してユーザーに感染するPowerPoolマルウェアが発見されました。
脆弱なバージョン
- Windows 7
- Windows 8.1
- Windows 10
- Windows Server 2008、2012、2016
クイックヒール検出
Quick Heal は、脆弱性 CVE-2018-8440 について次の検出をリリースしました。
- トロイの木馬.Win64
- Trojan.IGeneric
Quick Heal Security Labs は、この脆弱性を悪用した新たなエクスプロイトを積極的に探し、その対策を確実に講じています。
参考情報
- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8440
主題の専門家
サミール・パティル | クイックヒールセキュリティラボ
