ゲームの公平性を守るはずのアンチチートシステムが、逆に深刻なセキュリティの穴を生み出していました。カーネギーメロン大学のCERT/CCは、GamersFirst Anti-Cheatドライバーに存在する3件の脆弱性を公表しました。3件はいずれも、パブリッシャーであるLittle Orbitが開発したドライバーに存在します。
ドライバーの仕組みと問題の所在
これらの欠陥は、ドライバーファイルGFAC_Sys_x64.sysに存在します。このドライバーはWindowsカーネルレベルで動作し、ミニフィルタの通信ポートを通じて、一般的なアプリケーションに特権機能へのアクセスを許可します。
アンチチートソフトウェアがシステムを監視するには、この仕組みが必要です。しかしGFACは、アクセス制限が緩すぎるうえ、受信データの検証も不十分でした。
CVE-2026-12166 ヌルポインタークラッシュ(CVSS 5.5、中)
CVE-2026-12166は、ローカルユーザーがヌルポインター参照外しを引き起こすことでドライバーをクラッシュさせられる脆弱性です。悪用に成功すると、システム全体がダウンします。またWindowsのブルースクリーン(BSOD)も発生します。
CVE-2026-12167 ポートアクセス制御の不備(CVSS 7.8、高)
CVE-2026-12167は、ドライバーの通信ポートにおけるアクセス制御の弱さに起因します。その結果、低権限ユーザーであってもGFAC_Sys_x64.sysに接続できてしまいます。さらに、本来は信頼済みプロセスに限定されるべき機能にもアクセスできる状態でした。
CVE-2026-12168 カーネル書き込みプリミティブによるSYSTEMへの権限昇格(CVSS 7.8、高)
CVE-2026-12168は、3件の中で最も深刻な脆弱性です。こちらもスコアは7.8(高)です。このドライバーはユーザー空間のアプリケーションからメッセージを受け取りますが、書き込み前にメモリアドレスを適切に検証していませんでした。
攻撃者は悪意のあるリクエストを作成できます。そのリクエストによって、ドライバーは任意のデータを選択したカーネルメモリ領域に書き込んでしまいます。この機能により、プロセスのセキュリティトークンを含む、Windowsの機密性の高い構造体を改ざんできてしまいます。結果として、攻撃者はSYSTEMレベルまで権限を昇格させることが可能になります。
複合的な影響とリスク
CERTによると、これらの欠陥の組み合わせは深刻です。ローカルの攻撃者は、システムをクラッシュさせたり、最大限の権限を取得したり、不正なコードを実行したりできます。特権的なドライバー機能が信頼されていないユーザーからもアクセス可能な状態にあることが、このリスクをさらに深刻なものにしています。
パッチ未提供、ユーザーが今取るべき対策
研究者らはLittle Orbitとの協調的な情報開示に至ることができませんでした。パッチが提供されるまでの間、ユーザーはローカルマシンへのアクセスを信頼できるアカウントのみに制限すべきです。またGFACに対する不審なリクエストの監視も行うべきです。可能であれば、GamersFirst Anti-Cheatドライバーに依存するゲームのアンインストールや無効化も検討してください。
CERTはこれらの脆弱性を2026年7月2日に公表しました。
翻訳元: https://meterpreter.org/gamersfirst-anti-cheat-cve/