NesterSoft WorkTimeにおけるローカル権限昇格

この脆弱性を悪用されると、攻撃者はWorkTimeの監視デーモンが実行する悪意のあるコードを通じて、SYSTEM権限を獲得できます。これにより、攻撃者はシステム全体を完全に制御し、機密情報の窃取、マルウェアのインストール、その他の悪意のある活動を実行できるようになります。特に、WorkTimeがシステム管理権限で実行されている場合、攻撃の影響は甚大です。この攻撃パターンは、他の監視ツールやデーモンにおいても同様の脆弱性が存在する可能性を示唆しており、注意が必要です。

Organizations using WorkTime for monitoring and management, particularly those with legacy configurations or shared hosting environments, are at risk. Systems where the C:\ProgramData\wta\ClientExe directory has overly permissive access controls are especially vulnerable. Environments with limited security monitoring or application whitelisting are also at increased risk.

• windows / supply-chain:

Get-ChildItem -Path "C:\ProgramData\wta\ClientExe" -Filter WTWatch.exe -Recurse

• windows / supply-chain:

Get-Acl -Path "C:\ProgramData\wta\ClientExe"

• windows / supply-chain: Check Windows Defender for alerts related to suspicious processes running from C:\ProgramData\wta\ClientExe. • windows / supply-chain: Use Autoruns (Sysinternals) to check for any unusual entries related to WorkTime or WTWatch.exe.

1. 2026-02-19Disclosure

   disclosure

1. 予約済み2026-02-04
2. 公開日2026-02-19
3. 更新日2026-02-23
4. EPSS 更新日2026-03-23

WorkTimeのバージョンを最新版にアップデートすることが最も効果的な対策です。バージョンアップが困難な場合は、C:\ProgramData\wta\ClientExeディレクトリへの書き込み権限を「Everyone」から制限し、より制限されたアカウントのみに付与してください。また、WAFやIPSなどのセキュリティ対策を導入し、WTWatch.exeのような不審な実行ファイルの実行をブロックすることも有効です。定期的なログ監視を行い、不審なアクティビティを早期に検出することも重要です。バージョンアップ後、システムを再起動し、WorkTimeのプロセスが正常に動作していることを確認してください。