新たな脆弱性クラス「False File Immutability(FFI)」がWindowsのセキュリティを脅かす恐れ | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 新たな脆弱性クラス「False File Immutability(FFI)」がWindowsのセキュリティを脅かす恐れ

Threat Report

CI

False File Immutability

FFI

新たな脆弱性クラス「False File Immutability(FFI)」がWindowsのセキュリティを脅かす恐れ

佐々山 Tacos

佐々山 Tacos

2024.07.24

新たな脆弱性クラス「False File Immutability(FFI)」がWindowsのセキュリティを脅かす恐れ

(情報源:Securityonline[.]infoElastic Security

新たな脆弱性クラス「False File Immutability(FFI)」の発見を受け、サイバーセキュリティコミュニティで懸念の声が上がっている。Elastic Securityの研究者Landau氏により特定されたこの脆弱性は、重要なセキュリティメカニズムであるWindowsのコード整合性(CI)のバイパスを可能にする恐れがあるという。

新たな脆弱性クラス「False File Immutability(FFI)」

日本語で「偽のファイル不変性」と名付けられたこの脆弱性クラスは、「書き込み権限のない状態で開かれたファイルは修正不可」だという誤った想定がなされることによる問題。具体的には、ソフトウェアが、読み書き共有可能(FILE_SHARE_WRITE)権限なしで開かれたことを理由に当該ファイルを修正不能なものだと決めつけることでFFIが生じるという。

ソフトウェアによる不適切な想定とは裏腹に、攻撃者は特定の状況下において当該ファイルを修正することができ、「二重読み取りの脆弱性(double-read vulnerabilities)」と名付けられた状態を引き起こす可能性がある。二重読み取りの脆弱性はファイル内の同一の値やオフセットが2回以上読み取られることで発生し、結果として不整合や悪用機会が生み出される恐れがあるとされる。

FFIは、ユーザーモードおよびカーネルモード両方のCIに関する従来型のI/O操作とメモリマップドI/O操作に影響を与える可能性があるという。

PoCエクスプロイト「ItsNotASecurityBoundary」

Landau氏は、「ItsNotASecurityBoundary」と名付けたPoCエクスプロイトをGitHub上で公開し、FFIの深刻さを示している。このエクスプロイトは、ファイル属性と競合状態に手を加えることで悪性コードを信頼されたセキュリティカタログに注入できるようにする、というもの。これにより署名検証プロセスのバイパスが可能となり、未署名のものや有害なものも含む任意のドライバをロードできるようになる。

FFIの問題を悪用するこのエクスプロイトは成功させるのに複雑なプロセスを要するものの、その影響範囲は広いものとみられる。攻撃者はコード整合性(CI)をバイパスできれば、セキュリティソフトウェアの無効化、検知メカニズムの回避、またマルウェアの展開などを比較的簡単に実行できるようになるという。

リスク緩和用のカーネルドライバ「FineButWeCanStillEasilyStopIt」

Landau氏はPoCエクスプロイトと併せて、「FineButWeCanStillEasilyStopIt」というカーネルドライバもリリースしている。これは、不審なファイル修正をモニタリングしてFFIの悪用を検知・ブロックするものだという。

このツールが一時的な解決策にはなるものの、この脆弱性を完全に解消するためにはWindows CI自体における包括的なフィックスが必要になる模様。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ