✅ レポートタイトル： Windows Kernel関連の脆弱性の概要

✅ レポートの要約：

- 2024年8月13日、Windows Kernel関連の脆弱性「CVE-2024-38106」が緊急でパッチされました。
- Windows 8月の複数のアップデートを適用していないWindowsとWindows Server製品が脆弱であることが判明しました。
- 2024年8月13日、「CVSSv3:7.0 HIGH」の脆弱性と発表され、パッチが行われました。
- 2024年8月13日、北朝鮮のAPTグループによる実際の悪用事例が確認されており、迅速な対応をお勧めします。

📌 攻撃状況

- 2024年8月13日、北朝鮮のAPTグループ「Lazarus」の関連脅威グループ「Citrin Sleet」が、脆弱性「CVE-2024-7971」を利用して、Chromiumレンダラープロセスで任意のコードを実行し、Sandbox Escapeと権限昇格を行い、FudModulルートキットを流布。

📌 脆弱性の原因

- 当該脆弱性は、WindowsカーネルAPI「NtSetInformationWorkerFactor」がアクセス制御を適切に行っていないために発生するRace Conditionによる権限昇格の脆弱性です。
- Windows OSのカーネルイメージ「ntoskrnl.exe」は、ユーザーモードスレッドプールメカニズムで使用されるワーカーファクトリーオブジェクト管理APIを提供。
‐ NtCreateWorkerFactory: オブジェクト生成API
‐ NtSetInformationWorkerFactory: 属性情報設定API
‐ NtShutdownWorkerFactory: オブジェクト解放API
- NtSetInformationWorkerFactory関数は「WorkerFactoryIdleTimeout」を引数とし、「KeSetTImer2」関数を呼び出すルーチンを実行。
- オブジェクトにアクセスする前にステータスフラグを確認しないため、レース条件が発生。

✅ 脅威検出の推奨事項と対策方法：

- 脅威検出ルールを更新し、継続的なモニタリングと最新バージョンのパッチを推奨。
- パッチが不可能な場合は、ガイダンスに従って対処。
- 以下のセキュリティ更新版を適用：
Windows 11 Version 24H2 / 23H2 / 22H2 / 21H2 2024-08 Cumulative Update
Windows 10 Version 22H2 / 21H2 / 1809 / 1607 / その他 2024-08 Cumulative Update
Windows Server 2022 / 2019 / 2016 各バージョン 2024-08 Cumulative Update
- ntoskrnl.exeは基本実行イメージのため、軽減策は乏しく、パッチが必須。
- リモート実行可能な攻撃面を最小限に抑え、厳重なモニタリングを推奨。

⚡ 追加の共有：

- 同時期に「Windows Ancillary Function Driver for WinSock（AFD.sys）」の脆弱性「CVE-2024-38193」も緊急パッチ。
- すべてのWindows製品に影響する可能性があり、CVSS3.1: 7.8 HIGH。
- 北朝鮮の「Citrin Sleet」による悪用事例が2024年6月に確認。

🧑‍ レポート作成者：S2W 「TALON」

👉 レポートに関するお問い合わせ: https://s2w.inc/ja/contact

*当該レポートは、S2Wのプラットフォーム「QUAXAR（クェーサー）」で全文が提供されています。詳細に関してはお問い合わせください。