CISAがMicrosoft Windowsの特権昇格の脆弱性について警告

米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は、Microsoft WindowsのCommon Log File System (CLFS) ドライバーに存在する重大な特権昇格の脆弱性（CVE-2021-43226）が積極的に悪用されていると警告しました。攻撃者はローカルアクセス権を取得後、セキュリティ制御を回避し、特権を昇格させ、最終的にシステムを完全に侵害する可能性があります。

脆弱性の背景と現在の状況

CVE-2021-43226は2021年後半にMicrosoftによって開示されたものですが、最近のインテリジェンスにより、脅威アクターがランサムウェアキャンペーンでこの脆弱性を悪用し始めていることが判明しました。CISAは2025年10月6日にこの問題を「既知の悪用されている脆弱性」カタログに追加しました。

深刻なリスクと影響

ローカル特権昇格の脆弱性は、攻撃者が本来許可されているよりも高いレベルのアクセス権を獲得することを可能にするため、深刻なリスクをもたらします。標的型攻撃では、アドバーサリーはしばしばこのような脆弱性をリモートコード実行の脆弱性と組み合わせて悪用します。まず、露出したサービスやフィッシング攻撃を通じてコードを実行し、その後CVE-2021-43226を使用してネットワーク内で横方向に移動し、機密データにアクセスします。

影響を受けるMicrosoft Windowsを実行している組織は、ローカル攻撃者がシステムにアクセスできる場合、リスクに晒されます。特に、機密データ、重要なアプリケーション、またはクラウド管理ツールをホストするワークステーションやサーバーが主要な標的となります。この脆弱性は、攻撃者が基本的な権限でコードを実行するだけで、ユーザーの操作は不要です。結果として、セキュリティチームは、データ窃盗、ランサムウェアによる暗号化、または重要なワークフローの妨害につながる可能性のある不正な特権昇格を防ぐために迅速に行動する必要があります。

中小規模の組織は、専用のインシデント対応チームや包括的なパッチ管理プロセスが不足しているため、特に課題に直面する可能性があります。タイムリーな緩和策がなければ、単一の侵害されたワークステーションであっても、攻撃者がドメイン管理者アクセス権を獲得し、ネットワーク全体を制御する可能性があります。

CISAの推奨事項と対策

CISAは、影響を受けるすべてのユーザーに対し、Microsoftが提供する緩和策を遅滞なく適用することを推奨しています。これには以下の対策が含まれます。

• 最新のセキュリティ更新プログラムをインストールする。
• エンドポイント保護ツールが既知の悪用試行を検出し、ブロックすることを確認する。
• クラウドサービスを利用している組織は、連邦機関および請負業者向けの協調的な脆弱性開示とパッチ管理を義務付けるBinding Operational Directive (BOD) 22-01のガイダンスに従う。
• 即座の更新が困難な場合は、CLFSドライバーへのアクセスを制限したり、高リスクシステムを隔離したりするなどの一時的な回避策を検討する。
• サポートされていない、または管理されていないWindowsインストールの使用を中止し、露出を減らす。
• セキュリティチームは、異常なCLFSドライバーのアクティビティについてログをレビューし、悪用試行を示す可能性のあるイベントに対してアラートを設定する。

CVE-2021-43226に迅速なパッチ適用、監視、およびガイダンスへの準拠を通じて対処することで、組織は特権昇格のリスクを軽減し、ランサムウェアやその他のサイバー脅威から重要な資産を保護できます。

元記事: https://gbhackers.com/cisa-alert-on-microsoft-windows-privilege-escalation-flaw/