ニュースに戻る
リサーチ

Windows 11管理者保護機能の重大な脆弱性:25H2リリースで発見されたセキュリティバイパス

1分で読めますソース: Google Project Zero

Windows 11 25H2の新機能「管理者保護」に重大な脆弱性が発見。攻撃者がセキュリティ機構をバイパスし、管理者権限を取得可能に。Microsoftは修正済みだが、互換性問題により機能は無効化中。

Windows 11 25H2リリースで発見された管理者保護機能のバイパス

セキュリティ研究者のJames Forshaw氏は、MicrosoftがWindows 11バージョン25H2で導入した新しい**管理者保護(Administrator Protection)**機能に重大な脆弱性を発見しました。この脆弱性により、攻撃者はセキュリティメカニズムを密かにバイパスし、完全な管理者権限を取得することが可能でした。報告されたすべての脆弱性はMicrosoftによって修正されましたが、2025年12月現在、互換性の問題によりこの機能は無効化されたままです。

バイパスの技術的詳細

背景:管理者保護機能

Microsoftは、管理者保護機能を、長らくセキュリティ境界の脆弱性が批判されてきた**ユーザーアカウント制御(UAC)**の後継として設計しました。UACは、制限付きアカウントと管理者アカウント間でプロファイルリソース(レジストリハイブやユーザーディレクトリなど)を共有していたのに対し、管理者保護では、シャドウ管理者アカウントを使用し、独立したログオンセッションを活用します。このアプローチにより、以下の問題が防止されます:

  • アカウント間でのプロファイルリソースの共有
  • トークン偽装攻撃
  • Microsoftバイナリの自動昇格

しかし、Forshaw氏の研究により、9つの異なるバイパス手法が発見され、そのうちの1つは、ログオンセッションとDOSデバイスオブジェクトディレクトリ間の複雑な相互作用を悪用していました。

脆弱性:ログオンセッションのハイジャック

最も注目すべきバイパス(Project Zero Issue 432313668で詳細に説明)は、WindowsがログオンセッションDOSデバイスオブジェクトディレクトリを処理する方法に起因していました。主な技術的要素は以下の通りです:

  1. ログオンセッションの分離:管理者保護の各シャドウ管理者トークンは、UACの共有セッションモデルとは異なり、一意のログオンセッションを受け取ります。
  2. 遅延初期化:DOSデバイスオブジェクトディレクトリ(例:\Sessions\0\DosDevices\X-Y)は、アクセス時にオンデマンドで作成され、ログオン時には作成されません。
  3. アクセスチェックのバイパス:カーネルのSeGetTokenDeviceMap関数は、ZwCreateDirectoryObjectを使用する際にアクセスチェック(OBJ_FORCE_ACCESS_CHECKフラグ)を強制せず、識別レベルトークンを偽装している場合でもディレクトリの作成を許可します。
  4. 所有者SIDの割り当て:識別レベルトークンの下でオブジェクトを作成する際、Windowsはプライマリトークンの所有者SID(制限付きユーザー)を使用し、偽装トークンのSIDではなく、意図しないアクセスを許可します。
  5. SYSTEMプロセスの緩和策SYSTEMプロセスが偽装トークンのDOSデバイスディレクトリにアクセスするのを防ぐセキュリティ機能により、ディレクトリの作成がプロセス起動後に遅延し、競合状態を引き起こします。

攻撃手順

Forshaw氏の概念実証では、以下の動作を連鎖させる必要がありました:

  1. RAiProcessRunOnce(例:runonce.exe)を使用して、サスペンド状態のシャドウ管理者プロセスを生成します。
  2. ファイルリソースにアクセスする前に、プロセストークンを開きます
  3. トークンを識別レベルトークンとして複製します。
  4. シャドウ管理者トークンを偽装しながら、\??にアクセスしてディレクトリ作成を強制します。
  5. 新しいDOSデバイスディレクトリに悪意のあるシンボリックリンクを作成し、C:ドライブをハイジャックします。
  6. プロセスを再開し、攻撃者が制御するDLLを強制的に読み込ませます。

影響分析

セキュリティへの影響

  • 無音の権限昇格:攻撃者はユーザーの操作なしに管理者権限を取得でき、意図されたセキュリティ境界をバイパスできました。
  • レガシーバイパスの持続性:報告された9つの脆弱性のうちいくつかは、長年にわたるUACバイパスの亜種(例:ループバックKerberosの悪用)であり、段階的な改善が歴史的な弱点を引き継ぐ可能性を示しています。
  • 複雑な攻撃対象:この脆弱性は5つの異なるOSの動作を連鎖させる必要があり、微妙な設計の相互作用が重大な欠陥を生む可能性を浮き彫りにしました。

Microsoftの対応

Microsoftは、KB5067036(2025年10月)の公式リリース前に報告されたすべての問題に対処しました。主な修正内容は以下の通りです:

シャドウ管理者トークンを識別レベルで偽装している際に、DOSデバイスオブジェクトディレクトリの作成を防止します。

この特定のバイパスにはCVEが割り当てられていません。これは、公開前に修正が行われたためです。

セキュリティチーム向け推奨事項

  1. パッチ管理

    • システムがKB5067036以降の更新プログラムで最新の状態であることを確認します。
    • 管理者保護に関連する将来のセキュリティ情報に注意します。

  2. 構成のベストプラクティス

    • 管理者保護が有効な場合は、レガシーUACモードを無効化します(相互に排他的です)。
    • ローカル管理者グループのメンバーシップを制限し、攻撃対象を最小化します。
    • 昇格プロンプトを監査し、潜在的な強制攻撃を検出します。

  3. 監視と検出

    • 異常なDOSデバイスディレクトリの作成(例:\Sessions\0\DosDevices\*パス)を監視します。
    • シャドウ管理者トークンを標的としたプロセストークン複製の試行に警戒します。
    • サスペンド状態のプロセス作成後に続く迅速なトークンアクセスをログに記録します。

  4. 防御アーキテクチャ

    • 日常的なタスクに管理者として実行しないことが最も効果的な緩和策です。
    • アプリケーションのホワイトリスト化を実装し、不正な実行ファイルをブロックします。
    • **Windows Defender Application Control(WDAC)**を使用して、コード整合性ポリシーを強制します。

最終評価

管理者保護はUACに比べて大幅なセキュリティ改善をもたらしますが、Forshaw氏の研究は、レガシーシステムへの段階的な変更が予期しない攻撃ベクトルを生む可能性を示しています。シャドウアカウントやログオンセッションの分離に依存するこの機能は、より安全ではあるものの、慎重な強化が必要な新たなエッジケースを生み出しました。

Microsoftがこれらの脆弱性に迅速に対応したことは、同社が管理者保護を真のセキュリティ境界として扱っていることを示唆しており、UACバイパスへの歴史的な対応からの転換を意味します。しかし、セキュリティチームは以下の点に警戒を続けるべきです:

  • マルウェアがこの新しいメカニズムを標的に適応する可能性が高い。
  • さらなる設計の反復が必要であり、互換性とセキュリティのトレードオフに対処する必要がある。
  • 2025年12月現在の機能の一時的な無効化は、安定性の課題が続いていることを示している。

現時点では、組織は管理者保護を進化するセキュリティコントロールとして扱い、Microsoftが現在の互換性問題を解決した後にその展開を優先すべきです。

共有

TwitterLinkedIn