リモートデスクトップソフトウェア「AnyDesk」において、Windows版に影響を与える重大な脆弱性(CVE-2024-12754)が発見されました。この脆弱性を悪用すると、ローカルの低権限ユーザーが管理者権限(NT AUTHORITY\SYSTEM)でファイルを読み取り・コピーし、特権昇格(LPE: Local Privilege Escalation)を実行できる可能性があります。
修正バージョン
AnyDesk バージョンv9.0.1
脆弱性のCVE-2024-12754 概要
この脆弱性はセキュリティ研究者の Naor Hodorov 氏によって発見されました。脆弱性を悪用する事により権限の低いユーザーがアクセス権を取得する事が可能になります。。
特権昇格の手順
この脆弱性を利用して、攻撃者はWindowsのSAMファイル(セキュリティアカウントマネージャ)を取得し、ローカル管理者アカウントのパスワードハッシュを抜き取ることが可能。
具体的な手順:
- C:\Windows\Temp にターゲットファイル名を作成(仮の背景画像名として)
- 背景画像を変更して、脆弱性をトリガー
- オペレーションロック(oplock)を設定し、ファイルコピーを制御
- シンボリックリンクを作成し、コピー対象をSAMファイルに変更
- C:\Windows\Temp 内のファイルを別ディレクトリにコピーして解析
- 取得したSAMファイルからローカル管理者の認証情報を抽出
- システム権限を取得(特権昇格成功)
関連記事
トロイの木馬化された「jQuery」がnpmやGitHubで拡散
Notionの危険性と情報漏洩しない為の対策
WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)
東芝の複合機「e-STUDIO」の複数のシリーズで脆弱性
Windows MSHTMLの脆弱性が1年以上サイバー攻撃に悪用されていた(CVE-2024-38112)
RansomHubがカスペルスキーのツールを悪用してEDRの検出を回避する
シャープ製ルーターで複数の脆弱性(CVE-2024-45721、CVE-2024-46873、CVE-2024-47864、CVE-2024-52321、CVE-2024-46873、CVE-2024-52321、CVE-2024-54082)
TikTok、トランプ大統領の決定で米国で一時的に利用 再開
Windows Update の欠陥で「パッチ解除」が行われるダウングレード攻撃が可能に
