CVE-2021-28310:Desktop Window Managerのゼロデイ脆弱性

Microsoft Windowsに見つかったゼロデイ脆弱性は、すでに悪用されている可能性があります。

Kasperskyのリサーチャーは、Microsoft WindowsのコンポーネントであるDesktop Window Manager(DWM)にゼロデイ脆弱性を発見しました(英語記事)。当社では、この脆弱性がすでに複数のサイバー攻撃者によって悪用されていると見ています。この脆弱性を修正するパッチは先日Microsoftより公開されているので、速やかに適用することをお勧めします。

Desktop Window Managerとは何か

現代のOSはウィンドウ形式のインターフェイスが主流で、プログラムごとに別々のウィンドウが開くようになっています。ウィンドウが重なり合う場合には、実際にウィンドウ同士が重なっているかのように、上になるウィンドウの下に影が表示されます。Microsoft Windowsでこのような影や透明効果などの表現を担当するのは、Desktop Window Managerというコンポーネントです。

Desktop Window Managerがサイバーセキュリティの面で重要であることは、ウィンドウの描画の仕組みを考えると分かります。ウィンドウは単純にプログラムによって描画されるのではありません。各プログラムが描画情報をバッファーに送り、この情報をDesktop Window Managerが各プログラムのバッファーから取り出し、目に見える表示を画面上に作成します。あるウィンドウを別のウィンドウの上に移動した場合、プログラムは、自分のウィンドウの下に影を表示するべきかどうかを判断しません。そこはDesktop Window Managerの仕事です。Desktop Window Managerは、Windows Vista以降のWindows  OSの各バージョンで使用されている主要サービスの一つで、Windows 8以降ではオフにできないようになりました。

Desktop Window Managerの脆弱性

当社の脆弱性攻撃ブロック機能が検知したこの脆弱性は、権限昇格の脆弱性です。プログラムがDesktop Window Managerを欺き、本来持つべきでないアクセス権を付与させることが可能となるため、攻撃者は被害者のコンピューター上で任意のコードを実行できるようになり、コンピューター全体を掌握可能となります。

CVE-2021-28310の悪用を防ぐには

速やかな対応が肝要です。以下をご覧ください。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?