Posted By ATCP , 2024년 03월 07일

Microsoft Windows のセキュリティアップデート推奨 (CVE-2024-21338)

概要

2024年2月13日、Microsoft は Windows カーネルの特権昇格の脆弱性(Windows Kernel Elevation of Privilege Vulnerability) CVE-2024-21338 に対するパッチを発表した。この脆弱性は、Windows の機能である AppLocker のドライバーとして知られている「appid.sys」の特定の IOCTL で発生する。攻撃者は脆弱性を悪用して任意のカーネルメモリの領域に読み込み/書き込みを実行することができ、攻撃者の意図によりセキュリティ製品を無力化したり、システム権限の取得が可能になる。最近、Lazarus 攻撃グループがセキュリティ製品を無力化するために CVE-2024-21338 を使用していたという解析内容が AVAST(外部サイト、英語にて提供) から報告された。したがって、Windows OS ユーザーは最新のセキュリティパッチにアップデートすることを推奨する。

説明

攻撃者がカーネルモードでコードを実行するために脆弱なドライバーを活用することを BYOVD(Bring Your Own Vulnerable Driver)(T1068)という。BYOVD はセキュリティ製品を無力化し、システム権限を取得するのに利用される。2022年9月22日、ASEC ブログを通じて北朝鮮当局の下部組織とされる Lazarus 攻撃グループがこの手法を利用してセキュリティ製品を無力化する攻撃技法について、詳しく紹介した。当時、Lazarus グループは「ene.sys」という名前の WinIO(オープンソース)ベースのドライバーファイルをシステムに生成したが、今回確認された攻撃方式では脆弱なドライバーがシステムに存在する状況だったため、攻撃はより一層隠密に実行されたものと見られる。また、Microsoft の正常なドライバーモジュールを悪用したため、波及力が非常に高いものと予想される。

脆弱性およびパッチ情報

脆弱性情報

CVE-2024-21338: Windows カーネルの特権昇格の脆弱性 (CVSS 3.1 Score: 7.8, High)

パッチ情報

CVE-2024-21338 脆弱性の影響を受ける Windows 製品バージョンは以下の通りである。

Windows 10 Version 1809
Windows 10 Version 21H2
Windows 11 version 21H2
Windows 10 Version 22H2
Windows 11 Version 22H2
Windows 11 Version 23H2
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server 2022
Windows Server 2022 (Server Core installation)
Windows Server 2022, 23H2 Edition (Server Core installation)

以下は、CVE-2024-21338 脆弱性の各製品別詳細パッチ情報である。

リリース日	製品	Build Number	パッチリンク	パッチドキュメント
2024-02-13	Windows Server 2022, 23H2 Edition (Server Core installation)	10.0.25398.709	https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB5034769	https://support.microsoft.com/help/5034769
2024-02-13	Windows 11 Version 23H2 for x64-based Systems	10.0.22631.3155	https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB5034765	https://support.microsoft.com/help/5034765
2024-02-13	Windows 11 Version 23H2 for ARM64-based Systems	10.0.22631.3155	https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB5034765	https://support.microsoft.com/help/5034765
2024-02-13	Windows 10 Version 22H2 for 32-bit Systems	10.0.19045.4046	https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB5034763	https://support.microsoft.com/help/5034763
2024-02-13	Windows 10 Version 22H2 for ARM64-based Systems	10.0.19045.4046	https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB5034763	https://support.microsoft.com/help/5034763
2024-02-13	Windows 10 Version 22H2 for x64-based Systems	10.0.19045.4046	https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB5034763	https://support.microsoft.com/help/5034763
2024-02-13	Windows 11 Version 22H2 for x64-based Systems	10.0.22621.3155	https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB5034765	https://support.microsoft.com/help/5034765
2024-02-13	Windows 11 Version 22H2 for ARM64-based Systems	10.0.22621.3155	https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB5034765	https://support.microsoft.com/help/5034765
2024-02-13	Windows 10 Version 21H2 for x64-based Systems	10.0.19044.4046	https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB5034763	https://support.microsoft.com/help/5034763
2024-02-13	Windows 10 Version 21H2 for ARM64-based Systems	10.0.19044.4046	https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB5034763	https://support.microsoft.com/help/5034763
2024-02-13	Windows 10 Version 21H2 for 32-bit Systems	10.0.19044.4046	https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB5034763	https://support.microsoft.com/help/5034763
2024-02-13	Windows 11 version 21H2 for ARM64-based Systems	10.0.22000.2777	https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB5034766	https://support.microsoft.com/help/5034766
2024-02-13	Windows 11 version 21H2 for x64-based Systems	10.0.22000.2777	https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB5034766	https://support.microsoft.com/help/5034766
2024-02-13	Windows Server 2022 (Server Core installation)	10.0.20348.2322	https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB5034770	https://support.microsoft.com/help/5034770
2024-02-13	Windows Server 2022	10.0.20348.2322	https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB5034770	https://support.microsoft.com/help/5034770
2024-02-13	Windows Server 2019 (Server Core installation)	10.0.17763.5458	https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB5034768	https://support.microsoft.com/help/5034768
2024-02-13	Windows Server 2019	10.0.17763.5458	https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB5034768	https://support.microsoft.com/help/5034768
2024-02-13	Windows 10 Version 1809 for ARM64-based Systems	10.0.17763.5458	https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB5034768	https://support.microsoft.com/help/5034768
2024-02-13	Windows 10 Version 1809 for x64-based Systems	10.0.17763.5458	https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB5034768	https://support.microsoft.com/help/5034768
2024-02-13	Windows 10 Version 1809 for 32-bit Systems	10.0.17763.5458	https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB5034768	https://support.microsoft.com/help/5034768

解決方法

最新の Microsoft Windows OS アップデート
– https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21338

参考

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories: 対応ガイド