目次
概要
2021年11月のパッチチューズデーでMicrosoftによるパッチが適用されましたが、正しくパッチが適用されずローカルで権限の昇格を許すという脆弱性を悪用可能な状態であったことが判明しました。アクターはこの脆弱性を悪用し、デバイスに侵入して限定的なアクセス権限を簡単に昇格させ、ネットワーク内でラテラルに拡大していきます。
図1. Windows Zero-Dayに関するMITRE ATT&CK マトリックス (MVISION Insights)
この脆弱性は、Windows 10、Windows 11、およびWindows Server 2022を含むサポート対象のWindowsの全バージョンに影響します。本稿の執筆時点では、Microsoftはこの問題を解決するための更新プログラムなどの不定期な緊急パッチを公開していません。
CVE-2021-41379 – Microsoft Windows Installer Elevation of Privilege Vulnerability
Bleeping Computer: New Windows zero-day with public exploit lets you become an admin
Bleeping Computer: Malware now trying to exploit new Windows Installer zero-day
McAfee Enterpriseのプロテクションとグローバルディテクション
McAfee Enterprise Global Threat Intelligenceは現在、このゼロデイ脆弱性に対する既知の概念実証エクスプロイトをすべて悪意のあるものとして検出しています。
脆弱性を悪用する活動をMcAfee Enterprise ENSがブロック
ENS(McAfee Enterprise Endpoint Security)は、McAfee Enterprise Endpoint Security(ENS)は現在、悪用の兆候を検出しており、以下に示すようにこの脆弱性を悪用するために使用されるツールを隔離します。
図2. MVISION ePOでMcAfee Enterprise ENSによるエクスプロイトの検出のストーリーグラフ概要を表示
脆弱性を悪用する活動をMVISION EDRが検出
これまでにMVISION EDR (MVISION Endpoint Detection and Response)は、この脆弱性の利用する試みを悪意のあるものと警告して、MITREの技術と悪用する活動に関連する疑わしいインジケーターを記録しています。
図3.ゼロデイエクスプロイトの活動と手法をMVISION EDRで検出
IOCSエクスプロイトに関するMVISION Insightsによる脅威インテリジェンス
MVISION Insightsは、この脆弱性の悪用に関する最新の脅威インテリジェンスと既知のインジケーターを提供します。また、感染拡大を防止するため、観測した検出結果とさらなる注意が必要なシステムに対して警告を行います。MVISION Insightsには脅威ハンティングのためのハンティングルールやキャンペーンコネクションがあり、脅威の活動と敵対者に関してより多くの情報を収集します。
MVISION Insightsキャンペーン:New Windows Zero-Day CVE-2021-41379 With Public Exploit Lets You Become an Admin
図4. MVISION Insightsで見る世界中のゼロデイエクスプロイトの活動
図5. MVISION Insightsで見るエクスプロイトIOCと検出
当社はクラウドセキュリティとデータ保護のワークショップを開催し脅威インテリジェンスのレポートを提供いたします。セキュリティの管理と活用方法、敵対する脅威と内部に存在する脅威に対する防御策などベストプラクティスを提案しております。ワークショップをご要望の際は、担当営業までお問い合わせください。
※本ページの内容は2021年11月29日(US時間)更新の以下のMcAfee Enterprise Blogの内容です。
原文: McAfee Enterprise Defender Blog | Windows Zero-Day – CVE-2021-41379
著者: Taylor Mullins