独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は4月23日、WindowsカーネルドライバのIOCTL処理におけるアクセス制御不備の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
Armeria-saml に SAML メッセージ取り扱い不備
IOCTLインタフェースを実装したWindowsカーネルドライバ
Carbon Blackの研究者により、第三者が提供する複数のWDF(Windows Driver Framework)、WDM(Windows Driver Model)カーネルドライバにIOCTL処理におけるアクセス制御不備の脆弱性が報告されている。
WindowsのカーネルドライバにIOCTLインタフェースを実装することで、ユーザプロセスからカーネルドライバの動作の制御が可能となるが、カーネルドライバはシステムのすべてのリソースにアクセスできるため、その制御を行うユーザは一定の権限を持っていること、アクセスするリソースは一定の範囲のみ、といった制限の実装が重要となる。
カーネルドライバーが、IOCTLリクエストの処理に関してアクセス権限の設定や入力データの検証を適切に行っていない場合、予期せぬユーザに操作されたり、想定外の動作をさせられたりする可能性がある。
具体的な影響はカーネルドライバが提供している機能によって異なるが、ファームウェアの消去や改ざん、権限昇格などにつながる例が報告されている。
JVNでは、ユーザが実施できる対策として、既知の脆弱性修正済みドライバの使用、最新のWindowsオペレーティングシステムの使用、サードバーティの脆弱なドライバのリストの活用を挙げている。
