壁と仮定を打ち破る：Windowsでの特権昇格のテクニック Part 2

この文書は、NTFS 交互データ ストリーム (ADS) がセキュリティ仮定を回避し、特権昇格を達成するためにどのように悪用されるかを詳細に説明します。この技術は、研究者 Abdelhamid Naceri によって発見され、ディレクトリーが ADS を持つと空であるとみなされるという事実を利用します。このため、プログラムがディレクトリーの空さを確認した後でも、NTFS ジャンクションの作成が可能になります。この技術は、2つの脆弱性を通じて示されています。ESET セキュリティ製品の CVE-2024-0353 と VIPRE Advanced Security の CVE-2024-7238 です。両脆弱性とも、リアルタイム保護機能が検出された悪意のあるファイルを削除するというものです。 この攻撃は、EICAR テスト文字列を含む ADS を作成し、ファイルの属性やタイムスタンプの変更を監視することで行われます。変更が検出されると、攻撃者が削除したいターゲット ファイルに向かって NTFS ジャンクションが作成されます。 この攻撃が成功するのは、ESET と VIPRE がファイルの削除のために開く際に必要な注意を払っていないためです。具体的には、リパース ポイントの確認や、impersonation の適切な実装が行われていません。このため、攻撃者は、削除操作を任意のファイル、特にシステムのクリティカル ファイルに向けることができます。これが特権昇格につながります。この文書は、多くのベンダーと製品がこの技術に対して脆弱かもしれないと強調し、セキュリティ研究のための無料トライアルを提供することを呼びかけます。また、impersonation の適切な実装がこのような脆弱性を防ぐために重要であることも強調します。この ADS exploitation 技術の詳細な分析は、サイバーセキュリティ コミュニティに対する警告と行動の呼びかけです。