Microsoft Windows において WOW64 版の Microsoft iSCSI サービスバイナリで DLL Hijacking による UAC Bypass が可能となる手法(Scan Tech Report) | ScanNetSecurity
2025.10.26(日)

Microsoft Windows において WOW64 版の Microsoft iSCSI サービスバイナリで DLL Hijacking による UAC Bypass が可能となる手法(Scan Tech Report)

2022 年 7 月に、Microsoft Windows OS に、UAC による権限制御が回避可能となる手法が公開されています。

脆弱性と脅威 エクスプロイト
www.microsoft.com
www.microsoft.com 全 1 枚 拡大写真
◆概要
 2022 年 7 月に、Microsoft Windows OS に、UAC による権限制御が回避可能となる手法が公開されています。端末が管理者グループのアカウントで侵入されてしまった場合は、当該手法により管理者権限が奪取されてしまいます。OS の設定の見直しによる対策を推奨します。

◆分析者コメント
 UAC による制限の回避は、マルウェアなどによりローカル管理者グループのアカウントで Windows OS 端末への侵入に成功した攻撃者が権限を昇格するために悪用する可能性が高い手法です。UAC による制限の回避は脆弱性ではなく仕様とされているため幅広いバージョンの Windows OS が影響を受けますが、多くの手法は UAC の設定を最高レベル(「常に確認する」)に設定することで軽減可能であり、本記事で取り上げている手法も同様に UAC レベルの設定で対策可能です。Administrators グループに所属していないアカウントで端末を運用することが対策として望ましいですが、難しい場合は UAC レベルの引き上げにより対策しましょう。

◆影響を受けるソフトウェア
 Windows 7 から Windows 11 までのすべての Windows OS で当該手法が悪用可能であると報告されています。

◆解説
 Microsoft Windows で、任意の DLL を UAC による制限を回避して実行する手法が公開されています。

 手法は Microsoft iSCSI サービスのバイナリである iscsicpl.exe を悪用するものです。64bit の Windows OS において、32bit プロセス用のに使用される iscsicpl.exe では、プロセスに必要な DLL を環境変数 PATH から優先して検索するため、PATH 変数を任意のディレクトリに書き換え、任意の DLL の名前を iscsiexe.dll に設定した状態で配置した状態で iscsicpl.exe を実行すると、UAC による制限を回避した状態で DLL を読み込みます。

◆対策
 UAC の設定を最高レベル(「常に通知する」)に設定することで、当該手法により権限昇格されてしまう危険性を軽減できます。

◆関連情報
[1] GitHub
  https://github.com/hackerhouse-opensource/iscsicpl_bypassUAC

◆エクスプロイト
 以下の Web サイトにて、当該手法により Administrators グループのアカウントから管理者権限への昇格を試みるエクスプロイトコードが公開されています。

  GitHub - hackerhouse-opensource/iscsicpl_bypassUAC
  https://github.com/hackerhouse-opensource/iscsicpl_bypassUAC

//-- で始まる行は筆者コメントです。

《株式会社ラック デジタルペンテスト部》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 関与していた元社員とは未だ連絡取れず ~ 京都市内で保険申込書写し 計 632 枚拾得

    関与していた元社員とは未だ連絡取れず ~ 京都市内で保険申込書写し 計 632 枚拾得

  2. 刑事告訴検討 ~ ヤマト運輸の元従業員が取引先企業に関する情報の一部を不正に持ち出し 2 社に流出

    刑事告訴検討 ~ ヤマト運輸の元従業員が取引先企業に関する情報の一部を不正に持ち出し 2 社に流出

  3. 「ランサムウェア被害ゼロ」電算システムが語る ChromeOS のセキュリティ設計とコスト優位性

    「ランサムウェア被害ゼロ」電算システムが語る ChromeOS のセキュリティ設計とコスト優位性PR

  4. 「漏えい情報を復号できないため報告を要しない(個人情報保護委員会)」ランサムウェアの前に全データを暗号化するソリューションで保険代理店の顧客情報守られる

    「漏えい情報を復号できないため報告を要しない(個人情報保護委員会)」ランサムウェアの前に全データを暗号化するソリューションで保険代理店の顧客情報守られる

  5. アスクル Web サイトがランサムウェア感染、受注出荷業務が停止

    アスクル Web サイトがランサムウェア感染、受注出荷業務が停止

ランキングをもっと見る
PageTop