◆概要
2024 年 8 月に公開された Microsoft Windows OS の脆弱性の悪用を試みるエクスプロイトコードが公開されています。脆弱性の悪用により、攻撃者は侵入に成功した Windows システムの全権限の奪取が可能です。セキュリティ更新プログラムの適用により対策してください。
◆分析者コメント
脆弱性はカーネル空間のメモリ破壊を悪用するものであり、100 % ではないものの高い確率で脆弱性の悪用に成功します。対象ホストへの侵入に成功した攻撃者により悪用される可能性が高い脆弱性であると考えられるため、多層防御の観点から、セキュリティ更新プログラムの適用により対策してください。
◆深刻度(CVSS)
[CVSS v3.1]
8.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2024-38144&vector=AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=Microsoft%20Corporation
◆影響を受けるソフトウェア
Windows OS のバージョン 23H2 およびそれよりも古いバージョンが当該脆弱性の影響を受けると報告されています。
◆解説
Microsoft Windows OS におけるマルチメディアデータのストリーム機能を担うサービスの 1 つである Kernel Streaming WOW Thunk Service のカーネルドライバに、特権昇格につながるメモリ管理の脆弱性が報告されています。
脆弱性は、Kernel Streaming WOW Thunk Service のカーネルドライバーである ksthunk.sys に報告されています。カーネルドライバーに実装されている CKSAutomationThunk::ThunkEnableEventIrp 関数は、データ長の正負を正しく処理しないため、脆弱性の悪用により意図されていないデータ領域への書き込みと読み取りが可能となります。攻撃者は脆弱性を悪用して、カーネル空間の任意のメモリアドレスの読み書きが可能な状態を実現し、SYSTEM 権限の奪取が可能です。
◆対策
2024 年 8 月分の Microsoft 公式セキュリティ更新プログラムを適用してください。
◆関連情報
[1] Microsoft 公式
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38144
[2] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2024-38144
[3] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-38144
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用して SYSTEM 権限の奪取を試みるエクスプロイトコードが公開されています。
SSD Advisory – ksthunk.sys Integer Overflow (PE)
https://ssd-disclosure.com/ssd-advisory-ksthunk-sys-integer-overflow-pe/
//-- で始まる行は執筆者によるコメントです。
2024 年 8 月に公開された Microsoft Windows OS の脆弱性の悪用を試みるエクスプロイトコードが公開されています。脆弱性の悪用により、攻撃者は侵入に成功した Windows システムの全権限の奪取が可能です。セキュリティ更新プログラムの適用により対策してください。
◆分析者コメント
脆弱性はカーネル空間のメモリ破壊を悪用するものであり、100 % ではないものの高い確率で脆弱性の悪用に成功します。対象ホストへの侵入に成功した攻撃者により悪用される可能性が高い脆弱性であると考えられるため、多層防御の観点から、セキュリティ更新プログラムの適用により対策してください。
◆深刻度(CVSS)
[CVSS v3.1]
8.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2024-38144&vector=AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=Microsoft%20Corporation
◆影響を受けるソフトウェア
Windows OS のバージョン 23H2 およびそれよりも古いバージョンが当該脆弱性の影響を受けると報告されています。
◆解説
Microsoft Windows OS におけるマルチメディアデータのストリーム機能を担うサービスの 1 つである Kernel Streaming WOW Thunk Service のカーネルドライバに、特権昇格につながるメモリ管理の脆弱性が報告されています。
脆弱性は、Kernel Streaming WOW Thunk Service のカーネルドライバーである ksthunk.sys に報告されています。カーネルドライバーに実装されている CKSAutomationThunk::ThunkEnableEventIrp 関数は、データ長の正負を正しく処理しないため、脆弱性の悪用により意図されていないデータ領域への書き込みと読み取りが可能となります。攻撃者は脆弱性を悪用して、カーネル空間の任意のメモリアドレスの読み書きが可能な状態を実現し、SYSTEM 権限の奪取が可能です。
◆対策
2024 年 8 月分の Microsoft 公式セキュリティ更新プログラムを適用してください。
◆関連情報
[1] Microsoft 公式
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38144
[2] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2024-38144
[3] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-38144
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用して SYSTEM 権限の奪取を試みるエクスプロイトコードが公開されています。
SSD Advisory – ksthunk.sys Integer Overflow (PE)
https://ssd-disclosure.com/ssd-advisory-ksthunk-sys-integer-overflow-pe/
//-- で始まる行は執筆者によるコメントです。
