ニュース

Windowsカーネルドライバーの重大じゅうだい脆弱ぜいじゃくせい警戒けいかいを ~JVNが注意ちゅうい喚起かんき

複数ふくすうのWDF/WDMドライバーで発見はっけん、ベンダーの修正しゅうせいばんはかならず適用てきようするように

2024ねん4がつ24にち 14:47

脆弱ぜいじゃくせいレポート「JVNTA#90371415」

 脆弱ぜいじゃくせいポータルサイト「JVN」は4がつ23にち脆弱ぜいじゃくせいレポート「JVNTA#90371415」を公開こうかいした。IOCTLインタフェースを実装じっそうしたWindowsカーネルドライバーで、アクセス制御せいぎょ不備ふび脆弱ぜいじゃくせい報告ほうこくされているという。

 「IOCTL」(I/O制御せいぎょコード)は、ユーザーモードのアプリケーションとドライバーあいだ通信つうしん、またはスタックないのドライバーあいだ内部ないぶ通信つうしん使用しようされる仕組しくみ。とくにカーネルモードで動作どうさするグラフィックスドライバーなどはシステムのすべてのリソースにアクセスできるたか権限けんげんつため、アクセス権限けんげん入力にゅうりょくデータの検証けんしょう適切てきせつおこなわないと、おおきなセキュリティ問題もんだいにつながるおそれがある。

 「VMware Carbon Black」脅威きょうい分析ぶんせきユニット(Threat Analysis Unit、TAU)が2023ねん10がつ公表こうひょうした資料しりょうによると、ファームウェアアクセスをける脆弱ぜいじゃくなドライバーは34にのぼり、うち6つはカーネルメモリアクセスを許可きょかしている。しかも、これらはいずれも管理かんりしゃ以外いがいのユーザーがデバイスを完全かんぜん制御せいぎょすることが可能かのうだという(2023ねん10がつ段階だんかいでは具体ぐたいてきなドライバーの名前なまえ公表こうひょう)。

 こうした脆弱ぜいじゃくなドライバーをシステムにんで悪用あくようする手法しゅほうは、 BYOVD(Bring Your Own Vulnerable Driver)攻撃こうげき ばれており、EDR(Endpoint Detection and Response、組織そしき導入どうにゅうされるセキュリティ監視かんしシステム)などに使つかわれるセキュリティ機構きこう無効むこう、ファームウェアレベルでのサービス運用うんよう妨害ぼうがい(DoS)攻撃こうげき、ルートキット(ブートキット)のインストールなどがおこなわれる可能かのうせいがある。

 ベンダーがわ対策たいさくとしては、Microsoftがカーネルドライバーの開発かいはつしゃけに公開こうかいしているガイダンスにしたがってドライバーを開発かいはつすることがげられる。ユーザーがわは、ベンダーのリリースするドライバーのアップデートをわすれずに適用てきようしたい。Windowsには脆弱ぜいじゃくなドライバーのブロックリストそなわっているので、OSの更新こうしん重要じゅうようだ。