◆概要
2026 年 2 月に、Safetica Technologies 社のカーネルドライバーに存在する脆弱性を悪用するエクスプロイトコードが公開されています。脆弱性の悪用により、攻撃者はセキュリティ対策製品のプロセスの停止が可能となります。ドライバーの禁止リストへの登録により対策してください。
◆分析者コメント
近年、ユーザーモードでは停止が困難なセキュリティ対策製品のプロセスを停止させるために、管理者権限の奪取に成功した侵入した端末に脆弱性が含まれる署名付きカーネルドライバーをインストールして悪用する LOLDriver という手法が攻撃者達の間で流行しています。脆弱性として認定されているのはバージョン 10.5.75.0 および 11.11.4.0 ですが、更新版の 11.26.18 では一般権限アカウントからの機能の利用を制限することで対策されているため、管理者権限アカウントであれば同様の攻撃に悪用できます。よって、脆弱性に対策されたバージョンの利用を禁止するだけでは軽減策は不十分であり、当該機能の悪用に対策するには更新版のバージョンの利用も禁止する必要があります。
◆深刻度(CVSS)
CVE-2026-0828 が採番されていますが、本記事の執筆時点で CVSS 値の情報は確認できていません。
◆影響を受けるソフトウェア
ProcessMonitorDriver.sys のバージョン 10.5.75.0 および 11.11.4.0 に当該脆弱性が存在すると報告されています。
◆解説
Safetica Technologies 社のセキュリティ対策製品に用いられているカーネルドライバーに任意のプロセス停止の機能が確認されています。
脆弱なカーネルドライバーのファイル名は ProcessMonitorDriver.sys です。当該カーネルドライバーには、カーネルモードで任意のプロセスを停止する機能が実装されているため、攻撃者は当該カーネルドライバーに命令を送信し、ユーザーモードからの停止が困難な EDR などのセキュリティ対策製品のプロセスを停止し、侵入した端末の侵害を有利に進められます。
◆対策
Microsoft 公式サイトの以下のページを参考に、当該機能が実装されているカーネルドライバーのインストールを禁止してください。
Microsoft Learn - Microsoft recommended driver block rules
https://learn.microsoft.com/en-us/windows/security/application-security/application-control/app-control-for-business/design/microsoft-recommended-driver-block-rules
機能の実装が確認されているカーネルドライバーのうち、ハッシュ値の情報が確認されているものは以下の通りです。
* バージョン 11.11.4.0
* MD5 - 485a04675df7cf40a8865706e003eb25
* SHA1 - 711ef221526997039e804a18db9647c91680bbe2
* SHA256 - 70bcec00c215fe52779700f74e9bd669ff836f594df92381cbfb7ee0568e7a8b
* バージョン 11.26.18
* MD5 - 5761bd63da03686fc480245da7bd1e9f
* SHA1 - 68fec379f2ae76c3d2ce913f7be650cea1d06990
* SHA256 - 5b4f59236a9b950bcd5191b35d19125f60cfb9e1a1e1aa2e4f914b6745dde9df
◆関連情報
[1] GitHub - magicsword-io/LOLDrivers
https://github.com/magicsword-io/LOLDrivers/commit/eea8326bf891d810902203e9ac5cfdeaf5a17a1c
[2] Software Engineering Institute CERT Coordination Center
https://kb.cert.org/vuls/id/818729
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用して、任意のプロセスの停止を試みるエクスプロイトコードが公開されています。
GitHub - ANYLNK/STProcessMonitorBYOVD
https://github.com/ANYLNK/STProcessMonitorBYOVD/tree/master/STProcessMonitorBYOVD
//-- で始まる行は執筆者によるコメントです。
2026 年 2 月に、Safetica Technologies 社のカーネルドライバーに存在する脆弱性を悪用するエクスプロイトコードが公開されています。脆弱性の悪用により、攻撃者はセキュリティ対策製品のプロセスの停止が可能となります。ドライバーの禁止リストへの登録により対策してください。
◆分析者コメント
近年、ユーザーモードでは停止が困難なセキュリティ対策製品のプロセスを停止させるために、管理者権限の奪取に成功した侵入した端末に脆弱性が含まれる署名付きカーネルドライバーをインストールして悪用する LOLDriver という手法が攻撃者達の間で流行しています。脆弱性として認定されているのはバージョン 10.5.75.0 および 11.11.4.0 ですが、更新版の 11.26.18 では一般権限アカウントからの機能の利用を制限することで対策されているため、管理者権限アカウントであれば同様の攻撃に悪用できます。よって、脆弱性に対策されたバージョンの利用を禁止するだけでは軽減策は不十分であり、当該機能の悪用に対策するには更新版のバージョンの利用も禁止する必要があります。
◆深刻度(CVSS)
CVE-2026-0828 が採番されていますが、本記事の執筆時点で CVSS 値の情報は確認できていません。
◆影響を受けるソフトウェア
ProcessMonitorDriver.sys のバージョン 10.5.75.0 および 11.11.4.0 に当該脆弱性が存在すると報告されています。
◆解説
Safetica Technologies 社のセキュリティ対策製品に用いられているカーネルドライバーに任意のプロセス停止の機能が確認されています。
脆弱なカーネルドライバーのファイル名は ProcessMonitorDriver.sys です。当該カーネルドライバーには、カーネルモードで任意のプロセスを停止する機能が実装されているため、攻撃者は当該カーネルドライバーに命令を送信し、ユーザーモードからの停止が困難な EDR などのセキュリティ対策製品のプロセスを停止し、侵入した端末の侵害を有利に進められます。
◆対策
Microsoft 公式サイトの以下のページを参考に、当該機能が実装されているカーネルドライバーのインストールを禁止してください。
Microsoft Learn - Microsoft recommended driver block rules
https://learn.microsoft.com/en-us/windows/security/application-security/application-control/app-control-for-business/design/microsoft-recommended-driver-block-rules
機能の実装が確認されているカーネルドライバーのうち、ハッシュ値の情報が確認されているものは以下の通りです。
* バージョン 11.11.4.0
* MD5 - 485a04675df7cf40a8865706e003eb25
* SHA1 - 711ef221526997039e804a18db9647c91680bbe2
* SHA256 - 70bcec00c215fe52779700f74e9bd669ff836f594df92381cbfb7ee0568e7a8b
* バージョン 11.26.18
* MD5 - 5761bd63da03686fc480245da7bd1e9f
* SHA1 - 68fec379f2ae76c3d2ce913f7be650cea1d06990
* SHA256 - 5b4f59236a9b950bcd5191b35d19125f60cfb9e1a1e1aa2e4f914b6745dde9df
◆関連情報
[1] GitHub - magicsword-io/LOLDrivers
https://github.com/magicsword-io/LOLDrivers/commit/eea8326bf891d810902203e9ac5cfdeaf5a17a1c
[2] Software Engineering Institute CERT Coordination Center
https://kb.cert.org/vuls/id/818729
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用して、任意のプロセスの停止を試みるエクスプロイトコードが公開されています。
GitHub - ANYLNK/STProcessMonitorBYOVD
https://github.com/ANYLNK/STProcessMonitorBYOVD/tree/master/STProcessMonitorBYOVD
//-- で始まる行は執筆者によるコメントです。
