# Collector V6.27.xリリース

## 質問 <a href="#thecollectorv6.27.xrelease-question" id="thecollectorv6.27.xrelease-question"></a>

V6.27.1以前のCollectorとNexthink Actスクリプトでいくつかのセキュリティ上の懸念が指摘されました。\
これの詳細と影響について教えてください。

## 回答 <a href="#thecollectorv6.27.xrelease-answer" id="thecollectorv6.27.xrelease-answer"></a>

Nexthinkは、利用可能になり次第、Collector V**6.27.1.181**またはそれ以降にアップグレードすることを顧客に推奨します。\
新しいバージョンはダウンロードまたは更新で利用可能です。

このリリースでは、Windows上のCollectorに影響を与えるローカル特権昇格の脆弱性に対処しています。 詳細は付録1に記載されています。

## 緩和要因

この脆弱性は公知のCVEに関連しておらず、公に利用可能な悪用コードはありません。\
このセクションでは、攻撃者がこの脆弱性をうまく悪用するために必要となるすべての条件と前提条件について説明します。

* 悪用には製品固有の知識とカスタム作成された悪用コードが必要です。
* この脆弱性をリモートで悪用することはできません。
* 攻撃者はターゲットシステムに認証されている必要があります。
* この脆弱性は攻撃者によって直接トリガーされることはできず、Nexthink FinderからスケジュールされたNexthink Actスクリプトの実行を待つ必要があります。

Nexthinkはこれを既存のお客様およびパートナーのみに提供しており、顧客様が内部プロセスに応じて対応および修正できるようにしています。 さらなる質問や懸念がある場合は、Nexthinkサポートにお問い合わせください。

## 付録1 <a href="#thecollectorv6.27.xrelease-annex1" id="thecollectorv6.27.xrelease-annex1"></a>

### v6.27.1.181以前のWindows CollectorでのACL問題によるローカル特権昇格 <a href="#thecollectorv6.27.xrelease-localprivilegeescalationthroughaclissueonwindowscollectorsbeforev6.27.1.1" id="thecollectorv6.27.xrelease-localprivilegeescalationthroughaclissueonwindowscollectorsbeforev6.27.1.1"></a>

## 概要 <a href="#thecollectorv6.27.xrelease-executivesummary" id="thecollectorv6.27.xrelease-executivesummary"></a>

Windowsにおいて、CollectorがNexthink Actスクリプトを格納するディレクトリでのACL問題があるため、いくつかの構成では、署名検証が完了した後、スクリプトの実行前にスクリプトを置き換えるために、競合状態を悪用することが可能です。 一定のNexthink ActスクリプトはLocalSystem特権で実行されます。

## セキュリティアップデート

アップデートが利用可能であり、影響を受ける顧客はアップグレードを推奨されています。\
下記の影響を受けるソフトウェアのセクションを参照してください。

## 脆弱性情報 <a href="#thecollectorv6.27.xrelease-vulnerabilityinformation" id="thecollectorv6.27.xrelease-vulnerabilityinformation"></a>

CollectorがNexthink Actスクリプトを格納するディレクトリは低特権ユーザーによって書き込み可能です。 Nexthink Actスクリプト自体はランダムに命名され、強力なACLが設定されているため、単純にスクリプトを置き換えることはファイルシステムで許可されません。

追加のツールとカスタム作成された悪用コードを使用すると、ディレクトリのファイル変更を監視し、低特権ユーザーとしてファイルを置き換えることが可能です。 スクリプトファイルの作成とスクリプトの実行の間には数十ミリ秒の間隔があります。 その時間内で攻撃可能なウィンドウは数ミリ秒です。

## 影響を受けるソフトウェア

* Nexthink Actが有効なv6.27.1.181より古いすべてのWindows Collectorバージョンが影響を受けます。

## 回避策

古いバージョンでアップグレードせずにこの脆弱性を修正するために、顧客様は認証ユーザーおよびオプションでローカル管理者から次のディレクトリへの書き込みアクセスを削除することができます。

* C:\ProgramData\Nexthink\RemoteActions\Scripts\System
* C:\ProgramData\Nexthink\RemoteActions\Scripts\User

これは手動で、GPOを通じて、またはこの文書に添付のNexthink Actスクリプトを使用して行うことができます。

## 謝辞 <a href="#thecollectorv6.27.xrelease-acknowledgment" id="thecollectorv6.27.xrelease-acknowledgment"></a>

この脆弱性は、定期的なセキュリティレビューの一部として行ったペネトレーションテスト中に発見されました。

## 免責事項 <a href="#thecollectorv6.27.xrelease-disclaimer" id="thecollectorv6.27.xrelease-disclaimer"></a>

ソフトウェアの使用は、適用可能なライセンス契約及び有効なドキュメントの条件に従います。 この情報は、“現状のまま” であり、いかなる保証もなく提供されます。

## 改訂 <a href="#thecollectorv6.27.xrelease-revision" id="thecollectorv6.27.xrelease-revision"></a>

初版リリース