Windowsドライバーに脆弱性、悪用による不正アクセス確認 - JPCERT/CC警告

画像提供：マイナビニュース

JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は4月23日、「JVNTA#90371415: WindowsカーネルドライバーのIOCTL処理におけるアクセス制御不備の脆弱性」において、サードパーティーのWindowsカーネルドライバーに脆弱性が存在するとして、注意を呼び掛けた。複数のWDF(Windows Driver Framework)および、WDM(Windows Driver Model)のカーネルドライバーに脆弱性が存在するとされる。

小誌では、この脆弱性の研究報告について、2023年11月6日に「Windowsドライバに脆弱性、悪用によりデバイスが完全に制御される恐れ | TECH+（テックプラス）」として報じている。

○脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

Hunting Vulnerable Kernel Drivers - VMware Security Blog - VMware

○影響

JPCERT/CCによると、脆弱性を含むカーネルドライバーによりファームウェアの消去や改ざん、権限昇格などにつながる事例が報告されているという。また、管理者権限を持つユーザーが脆弱性なドライバーをロードした場合、エンドポイント検出応答(EDR: Endpoint Detection and Response)などのセキュリティソリューションの無効化、ファームウェアレベルでのサービス運用妨害(DoS: Denial of Service)、ルートキットのインストールなどの可能性があるとしている。
○カーネルドライバーの開発者向けの対策

JPCERT/CCはMicrosoftがカーネルドライバー開発者向けに公開しているガイダンス「windows-driver-docs/windows-driver-docs-pr/driversecurity/index.md at staging · MicrosoftDocs/windows-driver-docs · GitHub」の中から基本的かつ効果の高いものとして2つの対策を紹介している。その概要は次のとおり。
○デバイスオブジェクトへのアクセス制限

デバイスオブジェクトへのアクセスを管理者に限定する。具体的にはドライバーのインストール設定ファイル(.inf)にセキュリティ記述子定義言語で指定するか、WdmlibIoCreateDeviceSecureまたはWdfControlDeviceInitAllocateなどのアプリケーション・プログラミング・インターフェイス(API: Application Programming Interface)を使用してドライバー内で明示的に指定する。