Windowsドライバーに脆弱性、悪用による不正アクセス確認 - JPCERT/CC警告

○入力できる値の範囲を限定

IOCTLで受け付ける入力値の範囲を限定し、すべて検査する。ドライバーがメモリーマップドI/Oを使用する場合は、指定されたアドレスが有効な空間内に収まっているか確認する。MSR(Model-Specific Register)、CR(Control Register)などで指定されるレジスターインデックスなどについても同様。
○ユーザー向けの対策

JPCERT/CCはユーザーが実施できる対策を3つ挙げている。その概要は次のとおり。
○脆弱性の修正済みドライバーを使用

使用しているカーネルドライバーを確認し、既知の脆弱性を修正したドライバーを使用する。一般に公開されている情報だけではなく、ドライバーベンダーのリリース情報も確認する。
○Windowsを最新の状態にアップデート

Microsoftはドライバーのブロックリスト「Microsoft が推奨するドライバー ブロックの規則 - Windows Security | Microsoft Learn」を公開している。Windows 11 2022 update以降ではデフォルトでこのリストに掲載されたドライバーのロードをブロックする。
○サードパーティーの脆弱なドライバーリストを利用

Microsoftのドライバーブロックリストの更新頻度は低い。そのため、セキュリティ専門家の情報に基づいた脆弱なドライバーリスト「LOLDrivers」を活用する。

カーネルドライバーはWindowsのカーネルモードで動作するため、制限を受けずに仮想アドレス空間全体へアクセスできる(参考：「ユーザー モードとカーネル モード - Windows drivers | Microsoft Learn」)。そのため脆弱性が存在するとコンピューター上のあらゆる情報の窃取や改ざんにつながる可能性がある。

このようなドライバーを使用した攻撃はBYOVD(Bring Your Own Vulnerable Driver)攻撃と呼ばれ脅威となっている。脆弱性が存在しても一般ユーザーは容易に対処できないため、カーネルドライバーを開発するベンダーにはセキュリティを考慮した開発と確実なテストが望まれている。
（後藤大地）