セキュリティ

SECURITY

公開：2024-12-13

【CVE-2024-6871】G DATA Total Security 25.5.15.21に権限昇格の脆弱性、SYSTEM権限での任意コード実行が可能に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• G DATA Total SecurityにPermission Assignmentの脆弱性
• ローカル権限昇格による任意のコード実行が可能に
• CVSS 3.0で深刻度7.0のHIGHスコアを記録

G DATA Total Security 25.5.15.21の権限昇格の脆弱性

Zero Day Initiativeは2024年11月22日、G DATA Total Securityにおいて権限昇格の脆弱性（CVE-2024-6871）を発見したことを公開した。この脆弱性は自動起動タスクの処理に関連しており、フォルダに対して不適切な権限が設定されることで権限昇格が可能になる問題が存在している。^[1]

この脆弱性を悪用する攻撃者は、対象システムで低権限のコードを実行する能力を事前に獲得する必要があるものの、一度アクセスを確立すると権限を昇格させSYSTEM権限でコードを実行することが可能になる。CVSSスコアは7.0（HIGH）を記録しており、早急な対応が求められている。

Zero Day Initiativeはこの脆弱性をZDI-CAN-22629として追跡しており、重要なリソースに対する不適切な権限割り当て（CWE-732）に分類している。影響を受けるバージョンはG DATA Total Security 25.5.15.21であることが確認されており、製品の利用者は最新の更新プログラムの適用を検討する必要がある。

G DATA Total Security脆弱性の詳細

権限昇格について

権限昇格とは、システム上で通常よりも高い権限を不正に取得することを指す脆弱性の一種であり、以下のような特徴がある。

• 低権限アカウントから管理者権限への昇格が可能
• システムのセキュリティ境界を突破する手段として悪用
• 重要なシステムリソースへの不正アクセスを可能に

G DATA Total Securityで発見された権限昇格の脆弱性は、自動起動タスクの処理における不適切な権限設定に起因している。攻撃者はこの脆弱性を悪用してSYSTEM権限でコードを実行できるため、重要なシステムデータへのアクセスや改変が可能となる深刻な問題だ。

G DATA Total Securityの脆弱性に関する考察

G DATA Total Securityにおける権限昇格の脆弱性は、セキュリティソフトウェア自体の信頼性に関わる重要な問題として認識する必要がある。特にフォルダ権限の不適切な設定は、基本的なセキュリティ設計の観点から見過ごすことのできない課題であり、同様の問題が他の機能にも存在する可能性を示唆している。

今後はセキュリティソフトウェアのQAプロセスにおいて、権限設定に関する包括的な検証の重要性が増すことが予想される。特に自動起動タスクのような特権操作を必要とする機能については、より厳密な権限管理と検証手順の確立が求められるだろう。

G DATAには今回の脆弱性を教訓として、製品の設計段階からセキュリティを考慮したアプローチの採用が期待される。具体的には、最小権限の原則に基づいたアクセス制御の実装や、定期的なセキュリティ設定の監査機能の追加など、より強固なセキュリティ機能の実装が望まれる。

参考サイト

1. ^ CVE. 「CVE-2024-6871 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-6871, (参照 24-12-13).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧