ISSコラム

CVE-2025-29824について

この脆弱性はWindows 共通ログ ファイル システム  (CLFS)ドライバーに存在する解放済みメモリ空間を利用可能な問題（Use After Free）により、侵入した攻撃者がローカルで権限をSYSTEMに昇格できるようになります。
Microsoft社は、この脆弱性が実際に悪用されていることを確認しています（ゼロデイ攻撃）。具体的には、Storm-2460 として追跡されている攻撃グループを介し、 PipeMagic マルウェアによって展開されたランサムウェアがこの脆弱性を悪用しています。
サイバーセキュリティインフラストラクチャセキュリティ庁 (CISA)は現地時間2025年4月8日に本脆弱性を「悪用が確認された脆弱性カタログ (KEV)」に追加しました。

実際の悪用

以下に他の手法で侵入した攻撃者が本脆弱性を悪用する攻撃手法についての概要となります。

1．本脆弱性を悪用するエクスプロイトはdllhost.exeプロセスから起動され、NtQuerySystemInformation API を使用してカーネル アドレスをユーザー モード上のプロセスに渡す。

2．メモリ破損とRtlSetAllBits API を利用して、エクスプロイト プロセスのトークンを値 0xFFFFFFFF で上書きし、プロセスのすべての権限を有効にして、SYSTEM プロセスへのプロセス インジェクションを可能とする。

3．エクスプロイトのdllhost.exeプロセスによって、C:¥ProgramData¥SkyPDF¥PDUDrv.blf（CLFS BLF）ファイルが作成される

4．エクスプロイトが成功するLSASSメモリプロセスダンプとそこからユーザーの資格情報の取得、ランサムウェアの実行などが行われる。

影響範囲

Windows 11 バージョン 22H2：10.0.22621.0 から 10.0.22621.5191 より前の バージョン
Windows 11 バージョン 22H3：10.0.22631.0 から 10.0.22621.5191 より前の バージョン
Windows 11 バージョン 23H2：10.0.22631.0 から 10.0.22631.5191 より前の バージョン
Windows 11 バージョン 24H2：10.0.26100.0 から 10.0.26100.3775 より前の バージョン
Windows 10：10.0.17763.0 から 10.0.17763.7137 より前の バージョン
Windows 10 バージョン 1607：10.0.14393.0 から 10.0.14393.7970 より前の バージョン
Windows 10 バージョン 22H2：10.0.19045.0 から 10.0.19045.5737 より前の バージョン
Windows Server 2025：10.0.26100.0 から 10.0.26100.3775 より前の バージョン
Windows Server 2022：10.0.20348.0 から 10.0.20348.3454 より前の バージョン
Windows Server 2022、23H2 エディション (Server Core インストール)：10.0.25398.0 から 10.0.25398.1551 より前の バージョン
Windows Server 2019：10.0.17763.0 から 10.0.17763.7137 より前の バージョン
Windows Server 2016：10.0.14393.0 から 10.0.14393.7970 より前の バージョン
Windows Server 2012：6.2.9200.0 から 6.2.9200.25423 より前のバージョン
Windows Server 2012 R2：6.3.9600.0 から 6.3.9600.22523 より前のバージョン
Windows Server 2008 サービス パック 2：6.0.6003.0 から 6.0.6003.23220 より前のバージョン
Windows Server 2008 R2 サービス パック 1：6.1.7601.0 から 6.1.7601.27670 より前のバージョン

推奨対処

Microsoft社が 2025年4月8日にリリースした、CVE 2025-29824 に対処するセキュリティ更新プログラムを早急にインストールすることを推奨します。