Kaspersky Labのセキュリティ研究者は、Windows内で絶対的なシステムヘゲモニーを得るための秘密の方法論を特定しました。この脆弱性には修正方法がまだありません。特定のシステムサービスになりすまして、攻撃者はマシンを強制的にSYSTEMレベルの権限を自動的に放棄させることができます。
情報セキュリティサービス
この欠陥は、遠隔プロシージャコール(RPC)メカニズム内に存在します。これはWindowsにおけるプロセス間通信を担当する本質的なアーキテクチャです。このフレームワークを通じて、アプリケーションとサービスは異なるコンテキスト間で関数を呼び出します。この迷路のようなシステムは、セキュリティ上の問題の豊富な源として長年の悪評があります。
初期段階の研究は、このアーキテクチャ内の構造的脆弱性を明らかにしています。このエクスプロイトは、プロセスが必要な「偽装」権を持っている場合、最高レベルへの権限昇格を可能にします。このような権限はネットワークサービスを含む様々なサービスアカウントに本来的に付与されています。Microsoftが正式にこの欠陥について知らされているにもかかわらず、同社はパッチを発行することを控え、リスクを単なる「中程度」として指定しています。
攻撃の本質は欺瞞的に優雅です。Windows内では、多くのサービスがRPCを通じて通信します。必要なサービスが休止状態にある場合、システムはそれでも接続を試行し、エラーに終わります。この正確な時点で、侵入者は同じインターフェースを使用して要求を「傍受」する詐欺的なサーバーを導入できます。
その後、偽装メカニズムの特定のニュアンスが引き起こされます:サーバーは接続を開始したクライアントのセキュリティコンテキストを一時的に採用することができます。そのクライアントがシステムサービスまたは管理エンティティである場合、攻撃者はそれらの正確な認証情報を継承します。
一つの説明的シナリオはグループポリシーサービスを含みます。設定更新中に、リモートデスクトップサービスとの通信を試みます。後者が無効化されている場合、要求は傍受の影響を受けやすいです。詐欺的なサーバーは接続を受け入れ、SYSTEMレベルの権限を「想定」します。その結果、攻撃者は単なるネットワークサービスからシステム制御の最高峰へと自分たちの地位を上げます。
類似の戦略は直接的な強制なしに機能します。たとえば、Microsoft Edgeブラウザは起動時にそのような要求を開始します。攻撃者は管理者がブラウザを開くのを待つだけで、悪意のあるサーバーが彼らの権限を取得することができます。さらに、完全に自動化されたバリアントが存在します:特定のバックグラウンドシステムサービスは定期的にリモートデスクトップサービスへの接続を試みます。この場合、侵略者は単に必然的な瞬間を待ちます。システムが求めている要求を引き渡す時点で。
別の現れはDHCPクライアントをターゲットにしています。対応するサービスを無効化してそのインターフェースを置き換えることで、標準的なipconfigコマンドを実行すると、管理者権限が攻撃者に移動します。同じロジックがWindows Timeサービスに適用されます。ユーティリティは最初に存在しないチャネルへの接続を試みようとします。それは容易に占有されることができます。
ゼロデイエクスプロイト分析
この困境は最初に見えるよりも深刻です。Windowsは要求を受け入れるRPCサーバーの真正性を検証できません。どのプロセスでも必要な命名法とインターフェースを持つサービスをインスタンス化できます。オペレーティングシステム内のRPCの遍在性を考えると、潜在的な攻撃面は非常に広いです。
これらの脆弱性を特定するために、専門家はシステムログを精査して失敗したRPC問い合わせを追跡しました。特に興味深いのは、高権限プロセスが偽装を許可する存在しないサービスとのインターフェースを試みるインスタンスです。そのような各失敗は侵入の可能性のあるポータルを表しています。
基本的なアーキテクチャの全面的な改善なしに、包括的な解決策は不可能です。現在、軽減策はリスク低減に限定されています。たとえば、「空いている」接続ポイントを排除するための休止サービスの有効化と、不要なプロセス間での偽装権の普及を制限することです。この脆弱性はWindows Server 2022およびWindows Server 2025で最新のセキュリティアップデート付きで検証されていますが、基本的なアーキテクチャは他のWindowsのイテレーションも苦しめていることを示唆しています。
