独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は6月2日、Windowsカーネルドライバ「PCTCore64.sys」における不適切なアクセス制御について「Japan Vulnerability Notes(JVN)」で発表した。
PC Tools Internet Security に含まれる Windows カーネルドライバ「PCTCore64.sys」では、アクセス制御なしで「\\.\PCTCoreDriver」デバイスインターフェースを公開しており、任意のユーザーモードプロセスがドライバと通信し、特権的な IOCTL(I/O 制御)コマンドを実行することが可能になる。「Bring Your Own Vulnerable Driver(BYOVD)」のシナリオで、Windows ドライバをロードする能力を持つローカル攻撃者は、この公開されたインターフェースを悪用して、ターゲットデバイス上で機密性の高い低レベルな操作を実行することが可能となる。
PC Tools Internet Security 製品群およびその PCTCore64.sys ドライバは、現在メンテナンスが行われておらず、本番環境での使用を避けることを推奨している。組織は、可能な限りこの脆弱性のあるドライバを削除およびブロックするとともに、管理者権限の制限、Microsoft が推奨するドライバブロックルールの適用、Hypervisor-Protected Code Integrity (HVCI)、Windows Defender Application Control (WDAC)、Credential Guard などの保護機能の有効化など、BYOVD 攻撃への曝露を低減するための対策を講じる必要があるとしている。
JVNでは、影響を受けるシステムや想定される影響、対策方法について、CERT/CCのアドバイザリを参照するよう案内している。
