TokyoBlackHatNews

meterpreter.org 4分で読了

セキュアデスクトップの向こう側:「RegPwn」がWindowsアクセシビリティをSYSTEMレベルのバックドアに変えた方法

1年以上にわたり、Windowsアクセシビリティ機構の内部に潜む重大な脆弱性が、悪意のある者たちにオペレーティングシステム全体への絶対支配を奪う力を与えていました。この陰湿な欠陥は、ほぼすべてのサポートされているWindowsアーキテクチャのバージョンに影響を及ぼすオンスクリーンキーボード内に隠されていました。

サイバーセキュリティの最先端にいる MDSec は、最近この権限昇格異常を「RegPwn」と名付けて発表しました。同社の専門家は、2025年1月以来のレッドチームエンゲージメント中にこの脆弱性を積極的に悪用し、企業の内部でこの発見を秘密にしていました。修復パッチは3月のWindowsセキュリティ展開の中でのみ提供されました。この問題はCVE-2026-24291という暗号化識別子で追跡されていると推測されています。

このアーキテクチャの異常はWindows 10およびWindows 11に影響し、Windows Server 2012、2016、2019、2022、および2025を含む広範なサーバーエディションに影響を与えました。

この脆弱性の発生は、Windowsアクセシビリティ機能と密接に関連しており、これは身体的な制限を持つユーザーがデジタルエコシステムをナビゲートするのを支援するために綿密に設計されています。このレパートリーには、ナレーターやオンスクリーンキーボード、および補助ツールが含まれます。これらの機能の複雑な構成はWindowsレジストリ内に保存されています。

ユーザーがオンスクリーンキーボードを起動すると、オペレーティングシステムはアプリケーションの構成を含むレジストリハイブを生成し、同時に権限のないユーザーにその内部のデータを変更する権限を付与します。システム認証シーケンス中に、Windowsはユーザーのレジストリパーティションからこれらのパラメータを神聖なシステムハイブにミラーリングします。この微妙な処理は winlogon プロセスによって実行されます。

アクセシビリティメカニズム自体はユーザーの権限で起動されますが、特殊なアクセシビリティインターフェースフラグによって付与された昇格された整合性レベルで動作します。表面的には、このアーキテクチャ設計は不可侵のセキュリティのオーラを投射します。しかし、壊滅的な欠陥は強力なセキュアデスクトップ環境への移行中に展開されます。

セキュアデスクトップは、例えばユーザーが自分のターミナルをロックするか、管理者権限を要求するアプリケーションを起動するときに起動されます。この隔離された領域内では、絶対的なシステム権限を持つ尊敬されるプロセスのみが動作を許可されます。通常のユーザープロセスはこのサンクチュアリから明確に除外されます。

セキュアデスクトップの生成の正確な瞬間に、2つの atbroker.exe プロセスが起動されます。1つはユーザーの権限で動作し、もう1つは SYSTEM アカウントの最高権限で実行されます。最初に、ユーザーバウンドプロセスはアクセシビリティ構成をユーザーのレジストリハイブからシステムパーティションに再びコピーします。その後、SYSTEM 権限を持つプロセスはこれらの値をさらに抽出し、オンスクリーンキーボードで使用される特定のレジストリドメイン内に保存します。

この複雑なバレエの後、osk.exe プロセスは絶対的な SYSTEM 権限で起動されます。オンスクリーンキーボードは構成を再度読み取り、値をシステムレジストリハイブに書き込みます。このパーティションは致命的なことに、権限のないユーザーによる変更に対して脆弱なままです。

このねじ曲がったメカニズムは、運動的な悪用の破壊的なベクトルを展開します。ユーザーは元のレジストリハイブを支配しているため、悪意のあるレジストリシンボリックリンクを介してターゲットパーティションを偽造する力を持っています。結果として、極度に特権のある SYSTEM プロセスは、まったく恣意的な攻撃者指定のレジストリパーティションにデータを書き込むように欺かれます。

この脆弱性を悪用するために、デジタル略奪者は単にオンスクリーンキーボードの起動とデータの決定的な書き込みを分ける短い時間を利用する必要があります。このネファリアスな操作を完璧に同期させるために、攻撃者は oskmenu.xml に対する機会的なファイルロックを活用します。システムがこのファイルにアクセスしようとする正確な瞬間に、攻撃者はシステムレジストリハイブを自分が選んだターゲットを指す シンボリックリンクに置き換えます。

彼らの実証的な悪用の中で、法医学専門家は ImagePath パラメータを悪意を持って上書きし、msiserver サービスを制御しました。その後、彼らはMSI COMオブジェクトを介してサービスを起動しました。オペレーティングシステムは、その後、SYSTEM の絶対権限の下で偽装された悪意のあるパスを従順に実行し、アーキテクチャの全体的で汚れのない制御を攻撃者に引き渡します。

RegPwnの修復アンチドートは3月のWindowsセキュリティ展開の中で登場しました。このパッチの同化の後、前述の複雑なバレエは、主権のあるシステムレジストリに任意の値を書き込むことをもはや許可しません。

翻訳元: https://meterpreter.org/beyond-the-secure-desktop-how-regpwn-turned-windows-accessibility-into-a-system-level-backdoor/

ソース: meterpreter.org
#CVE-2026-24291 #MDSec #RegPwn #Windows脆弱性 #アクセシビリティ #オンスクリーンキーボード #セキュアデスクトップ #バックドア #レジストリ悪用 #権限昇格

関連記事

Bitskrieg仮説:Secure BootとBitLockerバイパスという迫りくる脅威

制限解除の波紋:AnthropicがClaudeの緊急クォータ復元を実施

重大なセキュリティ欠陥、Apache LDAP APIの接続を危険にさらす