◆概要
2025 年 9 月に、NSecSoft 社の製品に用いられているカーネルドライバーにおける任意のプロセスの停止が可能となる問題が報告されています。攻撃者は侵入と管理者権限の奪取に成功した Windows OS にて、当該問題の悪用によりセキュリティ監視製品の動作を停止させ、攻撃的挙動の検知を回避できる可能性を向上させられます。カーネルドライバーのハッシュ値を、ドライバー読み込み防止ルールに追加して対策してください。
◆分析者コメント
現代の Windows OS では、Microsoft 社による認可を受け証明書が発行されたカーネルドライバーでなければ Windows OS にインストールできないように設計されていますが、本記事で取り上げているような証明書が発行されて署名されたカーネルドライバーに攻撃者が欲しい機能が実装されている場合、侵入に成功した端末上で攻撃を有利に進めるために悪用されてしまいます。企業などの組織のネットワークに所属しているホストの場合、本記事で触れているようなカーネルドライバーを悪用する攻撃者による、侵入範囲の拡大が懸念されます。多層防御の観点で、LOLDrivers.io(関連情報 [3])などを参考に悪用される可能性があるカーネルドライバー情報を収集し、OS のドライバー読み込み防止ルールに追加する運用が好ましいです。
◆深刻度(CVSS)
本記事の執筆時点で CVE 識別子の割り当てと CVSS 値の情報公開を確認できていません。
◆影響を受けるソフトウェア
以下のハッシュ値のカーネルドライバー NSecKrnl.sys にて、問題点が指摘されています。
* MD5: 80961850786d6531f075b8a6f9a756ad
* SHA1: b0b912a3fd1c05d72080848ec4c92880004021a1
* SHA256: 206f27ae820783b7755bca89f83a0fe096dbb510018dd65b63fc80bd20c03261
◆解説
セキュリティ製品を提供する NSecSoft 社が製品に組み込んでいるカーネルドライバーにて、カーネルモードから任意のプロセスの動作を止める機能が実装されているという問題が報告されています。
問題点はカーネルドライバーの IOCTL コード 0x2248E0 にて指摘されています。攻撃者は、動作を停止させたいプロセスの PID を指定して当該 IOCTL 命令をカーネルドライバーに送信すると、指定したプロセスの停止が可能となります。攻撃者は当該問題点を悪用して、侵入と管理者権限の奪取に成功したホストにカーネルドライバーを持ち込みインストールさせて命令を送ることで、セキュリティ監視製品のプロセスを停止させ、攻撃ツールの持ち込みや実行などの攻撃的挙動の検知を回避できます。
◆対策
「◆影響を受けるソフトウェア」に記載のハッシュ値を、ドライバー読み込みルールに追加してください。ルールの追加方法に関しては、Microsoft 公式文書(関連情報 [2])を参照してください。
◆関連情報
[1] GitHub - magicsword-io/LOLDrivers
https://github.com/magicsword-io/LOLDrivers/blob/main/yaml/80961850786d6531f075b8a6f9a756ad.yaml
[2] Microsoft 公式 - Microsoft recommended driver block rules
https://learn.microsoft.com/en-us/windows/security/application-security/application-control/app-control-for-business/design/microsoft-recommended-driver-block-rules
[3] LOLDrivers.io
https://www.loldrivers.io/
----------------------------------------------------------------------
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用して任意のプロセスの停止を試みるエクスプロイトコードが公開されています。
GitHub - ANYLNK/NSecSoftBYOVD
https://github.com/ANYLNK/NSecSoftBYOVD/blob/master/NSecSoftBYOVD/POC.cpp
//-- で始まる行は執筆者によるコメントです。
2025 年 9 月に、NSecSoft 社の製品に用いられているカーネルドライバーにおける任意のプロセスの停止が可能となる問題が報告されています。攻撃者は侵入と管理者権限の奪取に成功した Windows OS にて、当該問題の悪用によりセキュリティ監視製品の動作を停止させ、攻撃的挙動の検知を回避できる可能性を向上させられます。カーネルドライバーのハッシュ値を、ドライバー読み込み防止ルールに追加して対策してください。
◆分析者コメント
現代の Windows OS では、Microsoft 社による認可を受け証明書が発行されたカーネルドライバーでなければ Windows OS にインストールできないように設計されていますが、本記事で取り上げているような証明書が発行されて署名されたカーネルドライバーに攻撃者が欲しい機能が実装されている場合、侵入に成功した端末上で攻撃を有利に進めるために悪用されてしまいます。企業などの組織のネットワークに所属しているホストの場合、本記事で触れているようなカーネルドライバーを悪用する攻撃者による、侵入範囲の拡大が懸念されます。多層防御の観点で、LOLDrivers.io(関連情報 [3])などを参考に悪用される可能性があるカーネルドライバー情報を収集し、OS のドライバー読み込み防止ルールに追加する運用が好ましいです。
◆深刻度(CVSS)
本記事の執筆時点で CVE 識別子の割り当てと CVSS 値の情報公開を確認できていません。
◆影響を受けるソフトウェア
以下のハッシュ値のカーネルドライバー NSecKrnl.sys にて、問題点が指摘されています。
* MD5: 80961850786d6531f075b8a6f9a756ad
* SHA1: b0b912a3fd1c05d72080848ec4c92880004021a1
* SHA256: 206f27ae820783b7755bca89f83a0fe096dbb510018dd65b63fc80bd20c03261
◆解説
セキュリティ製品を提供する NSecSoft 社が製品に組み込んでいるカーネルドライバーにて、カーネルモードから任意のプロセスの動作を止める機能が実装されているという問題が報告されています。
問題点はカーネルドライバーの IOCTL コード 0x2248E0 にて指摘されています。攻撃者は、動作を停止させたいプロセスの PID を指定して当該 IOCTL 命令をカーネルドライバーに送信すると、指定したプロセスの停止が可能となります。攻撃者は当該問題点を悪用して、侵入と管理者権限の奪取に成功したホストにカーネルドライバーを持ち込みインストールさせて命令を送ることで、セキュリティ監視製品のプロセスを停止させ、攻撃ツールの持ち込みや実行などの攻撃的挙動の検知を回避できます。
◆対策
「◆影響を受けるソフトウェア」に記載のハッシュ値を、ドライバー読み込みルールに追加してください。ルールの追加方法に関しては、Microsoft 公式文書(関連情報 [2])を参照してください。
◆関連情報
[1] GitHub - magicsword-io/LOLDrivers
https://github.com/magicsword-io/LOLDrivers/blob/main/yaml/80961850786d6531f075b8a6f9a756ad.yaml
[2] Microsoft 公式 - Microsoft recommended driver block rules
https://learn.microsoft.com/en-us/windows/security/application-security/application-control/app-control-for-business/design/microsoft-recommended-driver-block-rules
[3] LOLDrivers.io
https://www.loldrivers.io/
----------------------------------------------------------------------
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用して任意のプロセスの停止を試みるエクスプロイトコードが公開されています。
GitHub - ANYLNK/NSecSoftBYOVD
https://github.com/ANYLNK/NSecSoftBYOVD/blob/master/NSecSoftBYOVD/POC.cpp
//-- で始まる行は執筆者によるコメントです。
