Microsoft Windows の win32k.sys ドライバの実装に起因する権限昇格の脆弱性（Scan Tech Report）

1.概要
Microsoft Windows の win32k.sys ドライバに権限昇格が可能な脆弱性が報告されています。
システムにアクセス可能な悪意あるユーザに利用された場合、Local SYSTEM 権限を取得され、システムを完全に制御される可能性があります。
既にこの脆弱性を悪用する標的型攻撃が確認されており、今後被害が拡大する可能性があります。リモートから悪用可能な他の脆弱性と組み合わせて悪用された場合、システムが受ける影響度は非常に高いため、パッチ未適用の Windwos OS を利用するユーザは可能な限り以下に記載する対策を実施することを推奨します。

2.深刻度(CVSS)
7.2
http://nvd.nist.gov/cvss.cfm?version=2&name=CVE-2014-4113&vector=%28AV:L/AC:L/Au:N/C:C/I:C/A:C%29

3.影響を受けるソフトウェア
サポートされる全ての Microsoft Windows OS

4.解説
Microsoft Windows には、ウィンドウやグラフィックなどを管理する Windowsカーネルモードドライバ (win32k.sys) が実装されています。

Microsoft Windows の win32k.sys には、user32!TrackPopupMenu 関数※1 を呼び出す際に win32k!xxxHandleMenuMessages 関数において、win32k!xxxMNFindWindowFromPoint 関数からの戻り値 (特定のエラーコード)を適切にチェックせずに、win32k!xxxSendMessage 関数に渡してしまう不備があります。
このため、当該エラーコードを有効なアドレスとして処理してしまい、攻撃者によって制御されたメモリの Null ページを参照してしまう脆弱性が存在します。

この脆弱性を利用することで、システムにアクセス可能なローカルの攻撃者はLocal SYSTEM (NT AUTHORITY\SYSTEM) に権限昇格を行い、当該権限で任意のコードが実行可能となります。

なお、Windows 8 では、スーパーバイザによるユーザモード内でのコード実行を防止するセキュリティ保護機能 Supervisor Mode Execution Prevention (SMEP)※2 が既定で有効なため、現在公開されている Null ページをマッピングする攻撃手法を介して、任意のコードを実行することは困難であることが報告されています。

※1 http://msdn.microsoft.com/ja-jp/library/cc364838.aspx
※2 http://www.intel.com/idf/library/pdf/sf_2011/sf11_spcs005_101f.pdf

5.対策
以下の Web サイトを参考に、それぞれの Windows OS に対応するパッチ (MS14-058) を入手し適用することで、この脆弱性を解消することが可能です。
※Windows Update/Microsoft Update を行うことでも同様に脆弱性を解消することが可能です。

MS14-058:
http://technet.microsoft.com/security/bulletin/MS14-058

6.ソースコード
（Web非公開）

（執筆：株式会社ラック　サイバー・グリッド研究所）

※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録（有料）下さい。

Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html