CVE-2021-34484向けの不十分なセキュリティ更新プログラム

Zero Day Initiativeの研究者が、新しい脆弱性を発見しました。
それを改修したパッチがマイクロソフトからリリースされました。
CVE-2021-34484です。
2021年8月10日でした。

研究者は発見当初にどのような問題があるのかについて概念実証（PoC）コードを作成し、GitHubで公開しました。
マイクロソフトはこの情報をもとにパッチを作成し、リリースしました。

パッチがマイクロソフトからリリースされた後、元の脆弱性を発見した研究者がリリースされたパッチを適用したシステムが安全な状態となったかの確認を行いました。
結果、パッチが十分ではないことがわかりました。
当初のPoCコードでは、ディレクトリを削除できるというバグの発現の仕方のみが再現されたものとなっており、マイクロソフトはそれについてのみ修正を提供しました。
しかし、実際の問題はそれにとどまったものではなく、SYSTEM権限を持つコマンドプロンプトを起動できるところまで可能なものだったのです。

この脆弱性が発現できるための前提には、SYSTEM権限はなくてもよいのですが別の実在のアカウントのユーザ名とパスワードがあらかじめわかっていることというものがあります。
この点では、そういった前提のなかったPrintNightmareよりはマシといえるのかもしれません。
たしかに利用環境によっては複数アカウントが設定されていないものもあるでしょう。
でも、複数のアカウントが設定されて利用されている環境もやはり多数あると考えられます。

攻撃者にとって一般ユーザのユーザ名とパスワードを知る方法は、難しくないかもしれません。
そういったことが実現できるマルウェアは数多くあるのです。
そして一旦一般ユーザのアカウント情報の入手できてしまえば、その環境でこの脆弱性を使うことでSYSTEM権限のコマンドプロンプトを得ることができるのです。

研究者からのこの追加の問題報告に関して、現時点ではマイクロソフトからの回答はまだないようです。

いろいろな問題がでてきます。
その問題単体では大きな問題となることがない問題というものも多数あることと思います。
問題への対策というものは通常速やかに実施することが重要です。
しかし、急ぎすぎてしまった結果、周りがよく見えていない状態のまま進んでしまうこともあるかもしれません。
ときには、すこし立ち止まり落ち着いてから進むということも必要なのかもしれません。

参考記事（外部リンク）：All Windows versions impacted by new LPE zero-day
vulnerability
www.bleepingcomputer.com/news/security/all-windows-versions-impacted-by-new-lpe-zero-day-vulnerability/