by 樽井 秀人
脆弱性ポータルサイト「JVN」は4月23日、脆弱性レポート「JVNTA#90371415」を公開した。IOCTLインタフェースを実装したWindowsカーネルドライバーで、アクセス制御不備の脆弱性が報告されているという。
「IOCTL」(I/O制御コード)は、ユーザーモードのアプリケーションとドライバー間の通信、またはスタック内のドライバー間の内部通信に使用される仕組み。とくにカーネルモードで動作するグラフィックスドライバーなどはシステムのすべてのリソースにアクセスできる高い権限を持つため、アクセス権限や入力データの検証を適切に行わないと、大きなセキュリティ問題につながる恐れがある。
「VMware Carbon Black」の脅威分析ユニット(Threat Analysis Unit、TAU)が2023年10月に公表した資料によると、ファームウェアアクセスを受け付ける脆弱なドライバーは34に上り、うち6つはカーネルメモリアクセスを許可している。しかも、これらはいずれも管理者以外のユーザーがデバイスを完全に制御することが可能だという(2023年10月の段階では具体的なドライバーの名前は未公表)。
こうした脆弱なドライバーをシステムに持ち込んで悪用する手法は、BYOVD(Bring Your Own Vulnerable Driver)攻撃 と呼ばれており、EDR(Endpoint Detection and Response、組織で導入されるセキュリティ監視システム)などに使われるセキュリティ機構の無効化、ファームウェアレベルでのサービス運用妨害(DoS)攻撃、ルートキット(ブートキット)のインストールなどが行われる可能性がある。
ベンダー側の対策としては、Microsoftがカーネルドライバーの開発者向けに公開しているガイダンスに従ってドライバーを開発することが挙げられる。ユーザー側は、ベンダーのリリースするドライバーのアップデートを忘れずに適用したい。Windowsには脆弱なドライバーのブロックリストが備わっているので、OSの更新も重要だ。
