注目の脆弱性:Intel HD Graphics の Windows カーネル ドライバにおけるローカル コードの実行
この脆弱性は Piotr Bania によって検出されました。
Talosは、Intel HD Graphics の Windows カーネル ドライバに存在する、ローカルの任意のコードが実行される脆弱性、TALOS-2016-0087 を検出したことを Intel と共に発表しました。この脆弱性はドライバの通信機能に存在し、工作されたメッセージがドライバに送信された結果、サービスもしくは任意のコードの実行が拒否された場合に悪用される恐れがあります。これはローカル コンテキストにおいてのみ発生します。この脆弱性は、シスコの脆弱性のレポートおよび開示ガイドラインに沿って Intel へ開示されました。
TALOS-2016-0087 の詳細
TALOS-2016-0087 (CVE-2016-5647)は、Windows 用 Intel HD Graphics カーネル モード ドライバにおける、任意のコードの実行につながる脆弱性です。この脆弱性は、工作された D3DKMTEscape 要求を Intel HD Graphics ドライバへ送信し、NULL の逆参照が起こることでトリガーされます。攻撃者は、この脆弱性を利用して、対象システムへの DoS 攻撃や任意のコードの実行が可能になります。この侵害は、TALOS-2016-0087 に感染したシステムの侵害を目的として開発されたバイナリを実行しているユーザなど、ローカル コンテキストに限定されます。
侵害の重大度は、攻撃者が悪用する先のシステムにより異なります。Windows 7 もしくはそれ以前のバージョンを実行するシステムにおいては、この脆弱性の悪用は、「SYSTEM」のコンテキストにおける任意のコードの実行をもたらします。Windows 8 以降では、この脆弱性による被害はシステムのクラッシュ(DoS)のみになるとされています。
攻撃者が任意のコードの実行を遂行するためには、Windows の NULL ページを割り当て/マッピングできることが必要です。カーネル スペースにおいて NULL の逆参照が起こると、コンテキストの切り替えを引き起こしたユーザ モードのアプリケーションは Low メモリにマッピングされてしまいます。攻撃者はこの機能を悪用して、脆弱性のトリガーに先立って NULL ページをマッピングし、逆参照の内容を制御します。この例では、ユーザ制御値は任意のコードの実行につながる機能ポインタである恐れがあります。
Windows 7 もしくはそれ以前を実行中のシステムでは、NTVDM (NT 仮想 DOS マシン)サブシステムの使用によって NULL ページの割り当て/マッピングが可能です。しかし Windows 8 以降では、このタイプの攻撃に対する緩和策として、この機能は廃止されました。また、32 ビット版 Windows 8 もしくはそれ以降を実行する、NTVDM を持つシステムにおいては、デフォルトで無効にされているため、コントロール パネルにて手動で機能を有効にする必要があります。Windows 64 ビット版を実行するシステムの OS には NTVDM サブシステムはありません。これらの緩和策は絶対的に確実なものではないことに注意してください。例えば、別のドライバを操作して NULL ページにユーザ制御データを配置することなども可能です。ただしこれはユーザ モードマッピングなどのような一般的なケースではありません。
この脆弱性に関する技術の詳細については、こちら
より脆弱性のアドバイザリをご覧ください。
まとめ
下位互換性は、すぐにアップグレードすることが難しい組織やユーザにとってはメリットが高い一方、潜在的なセキュリティ リスクは高まります。攻撃者は、多くの組織がレガシー アプリケーションの要件から OS をアップグレードできずにいることをよく理解しています。従って、レガシー機能を悪用した攻撃を防ぐには、別の軽減策が必要になります。そのひとつは、OS とドライバの最新のセキュリティ アップデートを確認し、マルウェア対策ソフトを使用することです。
Talos は引き続きプログラミングの手法によるサードパーティ ライブラリおよびパッケージに含まれるゼロデイ脆弱性の調査を行い、お客様と全世界のインターネット コミュニティの安全を支援していきます。
TALOS-2016-0087 の悪用の検出および緩和においては、次の Snort ルールが有効です。
37519-37520
Tags:本稿は 2016年7月11日に Talos Group
