Microsoft Windows においてコールバック関数による Window オブジェクトの型検証不備により権限昇格が可能となる脆弱性(Scan Tech Report) | ScanNetSecurity
2026.07.03(金)

Microsoft Windows においてコールバック関数による Window オブジェクトの型検証不備により権限昇格が可能となる脆弱性(Scan Tech Report)

2022 年 1 月に、Microsoft Windows のカーネルに管理者権限の奪取につながる脆弱性が報告されています。

脆弱性と脅威 セキュリティホール・脆弱性
www.microsoft.com
www.microsoft.com 全 1 枚 拡大写真

◆概要
 2022 年 1 月に、Microsoft Windows のカーネルに管理者権限の奪取につながる脆弱性が報告されています。標的型メールなどで対象ホストへの侵入に成功した攻撃者に、当該脆弱性の悪用により管理者権限が奪取されてしまう可能性があります。セキュリティ更新プログラムの適用により対策してください。

◆分析者コメント
 当該脆弱性は、攻撃者グループに悪用された 2021 年 4 月に修正された脆弱性 CVE-2021-1732 のパッチを回避するものです。脆弱性の影響対象となる OS のバージョンが幅広く、すでに複数のエクスプロイトコードが公開されているため、攻撃者が積極的に悪用する可能性が高いと考えられます。セキュリティ更新プログラムの適用による早急な対策を推奨します。

◆深刻度(CVSS)
[CVSS v3.1]
7.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2022-21882&vector=AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=NIST

◆影響を受けるソフトウェア
 以下のバージョンの Microsoft Windows OS が当該脆弱性の影響を受けると報告されています。

+ Microsoft Windows 11
+ Microsoft Windows 10 20H2
+ Microsoft Windows 10 2004
+ Microsoft Windows 10 21H1
+ Microsoft Windows 10 1909
+ Microsoft Windows 10 1809
+ Microsoft Windows Server 2019
+ Microsoft Windows Server 2022
+ Microsoft Windows Server 20H2

以上の他にも Microsoft Windows 10 のサポートが切れたバージョンが影響を受ける可能性があります。

◆解説
 Microsoft Windows のカーネルドライバに、管理者権限の奪取が可能となるメモリ処理の脆弱性が報告されています。


《株式会社ラック デジタルペンテスト部》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 日経225構成企業の217社で情報漏えいを確認

    日経225構成企業の217社で情報漏えいを確認

  2. サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

    サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

  3. 市の男性職員(40代)が住民記録システムを操作して元親族の個人情報を閲覧し懲戒処分に

    市の男性職員(40代)が住民記録システムを操作して元親族の個人情報を閲覧し懲戒処分に

  4. セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

    セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

  5. 現代仏壇に不正アクセス、親会社である株式会社はせがわが保有する個人情報には影響無し

    現代仏壇に不正アクセス、親会社である株式会社はせがわが保有する個人情報には影響無し

ランキングをもっと見る
PageTop