MDSecの研究者が、新たにパッチが適用されたWindows特権昇格脆弱性「RegPwn」を公開しました。この脆弱性により、攻撃者は低い権限のユーザーから完全なSYSTEMアクセスへと昇格できました。
CVE-2026-24291として追跡されているこの欠陥は、Windowsが組み込みアクセシビリティ機能に関連するレジストリ構成を管理する方法に由来しています。
ナレーターやスクリーンキーボードなどのWindowsアクセシビリティツールは、ユーザーのセッション内で実行されながら高い整合性権限を保つよう設計されています。
これらの動作をサポートするため、Windowsは特定のレジストリキーに構成データを保存しています。しかし、研究者はユーザーコンテキストとSYSTEMコンテキスト間の遷移時にこれらのレジストリ値がどのように処理されるかという欠陥を特定しました。
ログイン中に、Windowsはユーザーにローカルマシンハイブ内の特定のアクセシビリティ関連レジストリキーへの書き込みアクセスを付与しています。
この動作はユーザビリティを意図したものですが、オペレーティングシステムが後で昇格権限の下でこれらの構成をどのように処理するかと組み合わせると、リスクが生じます。
この脆弱性は、Windowsがセキュアデスクトップ環境に切り替わるときにトリガーされます。セキュアデスクトップ環境は、ワークステーションロックやユーザーアカウント制御(UAC)プロンプトなどの機密操作中に使用される隔離されたモードです。
この状態では、atbroker.exeというプロセスが2回起動されます。1つのインスタンスはユーザーのコンテキストで、もう1つはSYSTEMアカウントで実行されます。
これらのプロセスは、ユーザーが制御できるレジストリの場所からアクセシビリティ構成データを保護されたSYSTEMレジストリキーにコピーします。
ソースレジストリパスはユーザーが書き込み可能であるため、攻撃者はコピーされる前にデータを操作できます。
レジストリのシンボリックリンクを悪用することで、攻撃者はSYSTEMプロセスを任意のレジストリの場所に制御されたデータを書き込むようにリダイレクトできます。
たとえば、攻撃者はWindowsインストーラーなどの重要なサービスのImagePathを上書きし、SYSTEM権限で悪意のあるコード実行を可能にすることができます。
成功した悪用には正確なタイミングが必要です。攻撃はレジストリコピー操作中の狭いウィンドウ内で発生する必要があります。
MDSec研究者はアクセシビリティ機能に関連するXMLファイルに機会的なロックを配置することでこれを実現しました。
これらのロックは正当なシステム操作を遅延させ、攻撃者が機密の場所をターゲットとするシンボリックリンクでレジストリキーを置き換えるのに十分な時間を与えます。
このレース条件スタイルの技術は、実行ウィンドウが短いにもかかわらず、悪用の信頼性を大幅に向上させます。
RegPwnは深刻なセキュリティリスクをもたらします。なぜなら、低い権限のフットホールドから完全なシステムの危険にさらされることを許すからです。
Microsoftは2026年3月のパッチチューズデー更新でCVE-2026-24291にWindows 10、Windows 11、Windows Serverに対処しました。
しかし、GitHubでの概念実証エクスプロイトコードの公開リリースは、積極的な悪用の可能性を高めます。
組織は最新のセキュリティ更新プログラムを直ちに適用し、検出戦略の一部として疑わしいレジストリ変更や異常なシステムレベルのプロセス動作を監視することを強く推奨されています。
翻訳元: https://cyberpress.org/regpwn-vulnerability/