重大なWindowsカーネルの脆弱性CVE-2026-40369により、ブラウザレンダラーサンドボックスを含む非特権プロセスが任意のカーネルメモリをインクリメントし、Windows 11 24H2〜25H2上でSYSTEM権限への昇格を確実に実行できることが判明しました。
このバグは、ntoskrnl.exe内のExpGetProcessInformationに存在し、情報クラス253を指定した単一のNtQuerySystemInformation呼び出しから到達可能です。
Windowsカーネルの脆弱性
CVE-2026-40369は、Windowsカーネルにおける信頼されていないポインタの逆参照として説明されており、ローカル権限昇格プリミティブにつながります。
NtQuerySystemInformationが情報クラス253(SystemProcessInformationExtension)で呼び出された場合、バッファ長がゼロに設定されていると、呼び出し元が制御するポインタが適切な検証なしにExpGetProcessInformationに渡されます。これにより、標準ユーザーコンテキストから使用可能な任意の12バイトカーネル書き込み(インクリメント)プリミティブが生成されます。
この問題はWindows 11バージョン24H2および25H2に影響し、複数のアドバイザリではWindows Server 2025にも影響がある可能性が指摘されています。
ベンダーおよびサードパーティによるスコアリングでは、この欠陥は現在CVSS 7.8(高深刻度)付近に位置付けられており、攻撃者がローカルでコードを実行できる状態になった際の低い攻撃複雑さと、機密性・完全性・可用性への高い影響を反映しています。
公開されているエクスプロイトやライトアップによると、複数のNtQuerySystemInformation情報クラス(クラス5および253を含む)が同じヘルパーExpGetProcessInformationを共有しています。クラス253では、関数はユーザーが提供したバッファを内部ポインタ(pExtensionOut)に直接割り当てます。
その後、システム上のすべてのプロセスを反復するループに入ります。このディスパッチの前に、カーネルは通常ProbeForWriteを使用して出力バッファが安全なユーザーモードアドレスであることを確認します。しかし、指定された長さパラメータがゼロの場合、このガード処理は完全にスキップされます。
クラス253のプロセスループ内では、コードはすべてのプロセスに対して攻撃者が制御するアドレスの3つのDWORDをインクリメントします。具体的には、汎用カウンター、累積アクティブスレッド数、および累積ハンドル数です。
長さチェックによってバッファサイズが「小さすぎる」と検出され、STATUS_INFO_LENGTH_MISMATCHが設定されますが、関数は早期リターンを行いません。すべての書き込みを実行した後でのみ、エラーコードをユーザーモードに返します。この設計により、致命的でない長さの不一致が、信頼性の高い任意カーネルインクリメントプリミティブに変わります。
セキュリティ研究者は、このプリミティブがChrome、Edge、Firefoxのレンダラーサンドボックスなどの高度に制限されたコンテキストからアクセス可能であると指摘しています。NtQuerySystemInformationはwin32k.sys GUIコールではなくコアNTシスコールであるため、Chromeのwin32kロックダウンはここでは適用されません。
影響を受ける情報クラスは権限チェック、トークン制限、または整合性レベルのゲーティングを一切適用しないため、信頼されていないプロセスや低整合性プロセスが直接この脆弱性を引き起こすことができます。
その結果、ブラウザレンダラー内の任意のリモートコード実行バグ(例:JavaScriptエンジンの脆弱性)をCVE-2026-40369と連鎖させることで、サンドボックス化されたコードから完全なカーネルレベルの権限へとジャンプすることが可能になります。
公開された分析では、プリフェッチサイドチャネルツールのような別のカーネルASLRバイパスと組み合わせた場合、このエクスプロイトチェーンにより攻撃者は侵害された単一のタブから100%確実にシステム全体の乗っ取りへと移行できることが強調されています。
研究者Ori NimronはCVE-2026-40369の完全なエクスプロイトパッケージを公開しており、基本的な概念実証、完全なローカル権限昇格、およびChromeサンドボックス環境をモデル化したバリアントが含まれています。
ソーシャルメディアの議論や脆弱性フィードにより、このエクスプロイトがすでに公開ドメインに存在し、KASLRリークと組み合わせることでインクリメントプリミティブを直接SYSTEMレベルのコード実行に変換できることが確認されています。
MicrosoftはWindows 11向けの2026年5月のパッチチューズデー累積アップデートでCVE-2026-40369に対処しました。Windows 11 24H2または25H2を実行している組織はこれらのアップデートの適用を優先すべきであり、一部のアドバイザリでは攻撃対象を完全に排除できる代替の設定ベースの回避策はないと報告されています。
パッチが広く適用されるまで、セキュリティチームはブラウザへの露出を制限し、異常なカーネルクラッシュを監視し、突然の権限昇格に関連するエクスプロイト後の動作を検出できるEDRソリューションを確保することが推奨されます。
最新情報をいち早く受け取るにはGoogle ニュース、LinkedIn、およびXでフォローし、GoogleでGBHを優先ソースに設定してください。
翻訳元: https://gbhackers.com/windows-kernel-vulnerability/
