Windowsカーネルイメージにゼロデイ脆弱性 PoCも公開済みのため注意：セキュリティニュースアラート

PixiePoint SecurityはWindowsのゼロデイ脆弱性「CVE-2024-38106」に関する分析結果を発表した。この脆弱性は権限昇格を引き起こす可能性があるため、ユーザーは速やかに対策が必要だ。

[後藤大地，有限会社オングス]

　PixiePoint Securityは2024年9月2日（現地時間）、「Windows」のプロセス「ntoskrnl.exe」（カーネルイメージ）のゼロデイ脆弱（ぜいじゃく）性「CVE-2024-38106」に関する分析結果を発表した。これが悪用された場合、権限昇格などの不正なアクションが実行される可能性がある。

カーネルイメージに関連したゼロデイ脆弱性が見つかる

　CVE-2024-38106は共通脆弱性評価システム（CVSS）v3.1のスコアで7.0、深刻度「重要」（High）に分類されている。2024年8月にMicrosoftからリリースされたセキュリティパッチの一部で修正された。

　この脆弱性は「VslGetSetSecureContext()」および「NtSetInformationWorkerFactory()」という2つの関数に関連している。VslGetSetSecureContext()は以前のバージョンでセキュリティモードに入る際に適切なロックをかける処理が不十分であったことが判明している。修正後のバージョンではロック機構が強化され、VBSセキュアカーネルに関連する競合状態が解消されている。

　NtSetInformationWorkerFactory()に関する修正はより複雑とされ、シャットダウン中に設定されるフラグのチェックが新たに追加され、オブジェクトの構築と破棄の間に発生する競合状態が修正された。これによりシャットダウン中に誤って動作する可能性が軽減されている。

　PixiePoint Securityはこの脆弱性に関するPoC（概念実証）コードも公開している。タイマーやメモリ操作に関するカーネルレベルでの競合状態を悪用することで、深刻なシステムクラッシュ（「IRQL_NOT_LESS_OR_EQUAL」エラー）が引き起こされる。

　サイバー攻撃のリスクを低減するため、ユーザーはWindows Updateを通じて迅速にアップデートすることが求められる。