Microsoft Windows の win32k.sys ドライバの実装に起因する権限昇格の脆弱性(Scan Tech Report)
Microsoft Windows の win32k.sys ドライバに権限昇格が可能な脆弱性が報告されています。
脆弱性と脅威
エクスプロイト
Microsoft Windows の win32k.sys ドライバに権限昇格が可能な脆弱性が報告されています。
システムにアクセス可能な悪意あるユーザに利用された場合、Local SYSTEM 権限を取得され、システムを完全に制御される可能性があります。
既にこの脆弱性を悪用する標的型攻撃が確認されており、今後被害が拡大する可能性があります。リモートから悪用可能な他の脆弱性と組み合わせて悪用された場合、システムが受ける影響度は非常に高いため、パッチ未適用の Windwos OS を利用するユーザは可能な限り以下に記載する対策を実施することを推奨します。
2.深刻度(CVSS)
7.2
http://nvd.nist.gov/cvss.cfm?version=2&name=CVE-2014-4113&vector=%28AV:L/AC:L/Au:N/C:C/I:C/A:C%29
3.影響を受けるソフトウェア
サポートされる全ての Microsoft Windows OS
4.解説
Microsoft Windows には、ウィンドウやグラフィックなどを管理する Windowsカーネルモードドライバ (win32k.sys) が実装されています。
Microsoft Windows の win32k.sys には、user32!TrackPopupMenu 関数※1 を呼び出す際に win32k!xxxHandleMenuMessages 関数において、win32k!xxxMNFindWindowFromPoint 関数からの戻り値 (特定のエラーコード)を適切にチェックせずに、win32k!xxxSendMessage 関数に渡してしまう不備があります。
このため、当該エラーコードを有効なアドレスとして処理してしまい、攻撃者によって制御されたメモリの Null ページを参照してしまう脆弱性が存在します。
この脆弱性を利用することで、システムにアクセス可能なローカルの攻撃者はLocal SYSTEM (NT AUTHORITY\SYSTEM) に権限昇格を行い、当該権限で任意のコードが実行可能となります。
なお、Windows 8 では、スーパーバイザによるユーザモード内でのコード実行を防止するセキュリティ保護機能 Supervisor Mode Execution Prevention (SMEP)※2 が既定で有効なため、現在公開されている Null ページをマッピングする攻撃手法を介して、任意のコードを実行することは困難であることが報告されています。
※1 http://msdn.microsoft.com/ja-jp/library/cc364838.aspx
※2 http://www.intel.com/idf/library/pdf/sf_2011/sf11_spcs005_101f.pdf
5.対策
以下の Web サイトを参考に、それぞれの Windows OS に対応するパッチ (MS14-058) を入手し適用することで、この脆弱性を解消することが可能です。
※Windows Update/Microsoft Update を行うことでも同様に脆弱性を解消することが可能です。
MS14-058:
http://technet.microsoft.com/security/bulletin/MS14-058
6.ソースコード
(Web非公開)
(執筆:株式会社ラック サイバー・グリッド研究所)
※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録(有料)下さい。
Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html
ソース・関連リンク
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
-
範を示す ~ MITRE がサイバー攻撃被害公表
「MITRE はこのインシデントを開示しました。これは当団体が公共の利益のために活動し、企業のセキュリティ強化のためのベストプラクティスを提唱し、業界の現在のサイバー防御体制強化に必要な措置を講ずると約束しているからです」
-
AI とドローン利活用最悪事例 ~ 米保険会社 住宅空撮し保険契約 猛烈却下
保険契約の申し込みや更新を処理するコストの低下を追求するあまり、保険会社は不正確な査定を行い、さらにはプライバシーを侵害するという最悪の方向に向かっているようだ。
-
北 中華製AIを攻撃活用/北 DMARC不正利用/北 日本のアニメ制作関与か ほか [Scan PREMIUM Monthly Executive Summary 2024年4月度]
Microsoft Threat Analysis Center は、中国および北朝鮮の脅威アクターによる人工知能(AI)を活用した直近のサイバー活動を報告しています。いずれ中国や北朝鮮の脅威アクターは、中国製 AI を活用することでのサイバー活動にシフトし、「AI + セキュリティ」の活動は一般的になるとみられます。