Windows初期設定（OOBE）をハック 管理者権限を奪取する新手法が見つかる：セキュリティニュースアラート

あるセキュリティ研究者が、WindowsのOOBE中に既知の対策を回避して管理者権限を取得できる新たな手法を発見した。アクセシビリティーツールを介し「Win + R」を起動し、非表示の実行ダイアログからコマンドプロンプトを昇格実行する。

[後藤大地，有限会社オングス]

　「X」（旧Twitter）で「Bk」という名前で活動するセキュリティ研究者は2025年8月12日（現地時間）、「Windows」の初期設定プロセス「Out-of-Box-Experience」（OOBE）において、既知の対策を回避して管理者権限のコマンドラインを取得できる新たな手法を公開した。

　OOBEは、Windowsの初回起動時やシステム準備ツール「Sysprep」実行後の再起動時に表示される一連の画面で、言語やキーボード設定、ユーザーアカウント作成、プライバシー設定などを適用するプロセスだ。OOBEはローカルの一時アカウント「defaultuser0」の権限で動作しており、このアカウントはローカル管理者グループに属する。そのため、この段階で管理者権限を伴うコマンドシェルが起動されると、追加の管理者アカウントの作成や組み込み管理者のパスワード変更といった操作や、バックドアの設置が可能になる。

Microsoftの既知の対策を回避するOOBEハックが登場

　今回Bk氏が公開した手法は、「Shift + F10」でコマンドプロンプトの起動を防ぐMicrosoftの対策「DisableCMDRequest.tag」が有効な環境でも動作することが確認され、企業環境における端末の安全性に影響を与える可能性がある。

　今回見つかった方法は「Win + R」キーによる「ファイル名を指定して実行」ダイアログの利用に基づく。OOBE画面で直接「Win + R」を押しても機能しないが、まずアクセシビリティーツール（例：「Magnify.exe」）を起動し、そのウィンドウを選択した状態で「Win + R」を押すことで、非表示の実行ダイアログが生成される。このダイアログは画面に見えないが、「Alt + Tab」でウィンドウを切り替えることで存在を確認できる。

　実行ダイアログがアクティブな状態で「cmd.exe」と入力し、「Ctrl + Shift + Enter」を押すとUAC（ユーザーアカウント制御）の昇格確認が表示される。これを承認すると、管理者権限のコマンドプロンプトが起動する。このシェルは背景で動作するため直接は見えないが、入力したコマンドは有効に実行される。Bk氏によれば、この方法は「DisableCMDRequest.tag」が存在する環境でも動作し、既知の「Shift + F10」対策をすり抜ける。

　この挙動は「Microsoft Intune」の「プッシュボタンリセット」機能を利用できるユーザーがOOBEに到達した場合にも悪用可能だ。低権限のドメインユーザーであっても、リセット後にOOBE上で管理者権限を取得できるため、企業環境ではリスクが高い。

　Microsoftはこの問題を修正する予定はなく、OOBEが管理者セッションで動作している事実や、設定中に端末を放置すること自体が物理的にロックを解除した状態に相当すると説明している。同社はソフトウェアの脆弱性ではなく運用上の管理課題と位置付けている。

　Bk氏は対策として、Intune管理センターで「テナント管理」の「カスタマイズ」からポリシー設定を開き、「企業のWindowsデバイスでリセットボタンを非表示」に設定する方法を推奨している。これによりユーザーがOOBEに進む経路を遮断できる。ただし、この方法は根本的な設計上の問題を解消するものではなく、OOBE経由での権限取得を完全に封じられないとされている。