Windowsのafd.sysドライバの権限昇格が可能な脆弱性に関する検証レポート（NTTデータ先端技術）

NTTデータ先端技術は、Windows Ancillary Function ドライバに存在する権限昇格が可能な脆弱性（CVE-2011-2005）に関する検証レポートを公開した。

脆弱性と脅威セキュリティホール・脆弱性

2011.12.12 Mon 14:47

NTTデータ先端技術株式会社は12月9日、Windows Ancillary Function ドライバに存在する権限昇格が可能な脆弱性（CVE-2011-2005）に関する検証レポートを公開した。これは、afd.sysドライバがユーザモードからデータを受け取るときに、入力を正しく検証しないことが原因の脆弱性。この脆弱性が悪用されると、細工したアプリケーションを実行した際に権限昇格を引き起こす可能性がある。これにより、奪取されたユーザ権限による情報取得、改ざん、または、ワームやスパイウェアなどの悪意あるプログラムをシステム内にインストールされる危険性がある。同社では今回、この脆弱性の再現性について検証した。

検証は、Microsoft Windows XP SP3を検証ターゲットシステムとして実施した。具体的には、ターゲットシステムにvictimユーザでログインし、Ancillary Functionドライバの脆弱性を利用した攻撃コードを実行することで、権限昇格させるというもの。検証の結果、攻撃コード実行後、ターゲットシステムにおいてvictimユーザの権限がシステム権限「NT AUTHORITY\SYSTEM」に昇格している情報が表示され、システム権限でのコマンド実行が可能となり、システム権限の奪取に成功したことが検証された。

《吉澤亨史（ Kouji Yoshizawa ）》