Windows Hyper-V Zero-Day CVE-2025-21333: PoC Drops, SYSTEM Access Exposed
2025/03/02 SecurityOnline — サイバー攻撃で積極的に悪用されている、Windows Hyper-V のゼロデイ脆弱性 CVE-2025-21333 (CVSS:7.8) の PoC エクスプロイトが、セキュリティ研究者である Alessandro Iandoli により公開された。この脆弱性の悪用に成功した攻撃者は、影響を受ける Windows デバイス上で SYSTEM 権限を取得できるという。
実際のエクスプロイトについて、その詳細は明らかにされていないが、この脆弱性は匿名で報告され、2025年1月の Microsoft Patch Tuesday で修正されたものだ。この PoC が示すのは、vkrnlintvsp.sys ドライバーをターゲットにした攻撃手法であり、I/O リング・バッファー・エントリの上書きを悪用することで、Windows カーネルでの任意の Read/Write を取得するものだ。
Iandoli によると、このエクスプロイトは、カーネル・アドレスを漏洩のための NtQuerySystemInformation や、任意の Read/Writr 取得のための PreviousMode といった、従来からの手法に依存していないという。その代わりに、_IOP_MC_BUFFER_ENTRY ストラクチャを取り込んだ、ページ・プール割り当ての手法を悪用するという。
Iandoli は、「この手法は、Yarden Shafir が文書化した手法とは少し異なる。_IORING_OBJECT.RegBuffers が指す配列全体を制御する代わりに、この手法では _IORING_OBJECT.RegBuffers が指す配列内の1つのエントリのみを制御する」と、GitHub リリースで説明している。
この微妙な制御により、信頼性の高い任意の Read/Write が可能となり、複数の Low Fragmentation Heap (LFH) バケットにわたる、ヒープ・オーバーフローや use-after-free (UAF) の脆弱性を、悪用する可能性が生じる。この研究者は、ポインター配列のサイズを操作する機能も強調しており、エクスプロイトの信頼性を、さらに高めている。
この PoC では、脆弱なシステムコールをトリガーするために、Windows Sandbox を有効化する必要がある。 Iandoli は、0xfff0 バイトのオーバーフローは達成できたが、オーバーフローの長さを、一貫して制御することが不可能であり、オーバーフローがサブセグメントの境界を超えると、クラッシュする可能性があると指摘している。
このエクスプロイトは、特定の Windows Notification Facility (WNF) ステート・データ・オブジェクトを解放して再割り当てを行うことで、目的のメモリ・レイアウトを実現するものだという。このプロセスは競合状態の影響を受けやすく、解放されたメモリ領域に、他のドライバーがオブジェクトを割り当てる可能性もある。
この PoC は、Windows 11 23H2 で正常にテストされた、Windows 11 24H2 では検証されていないが、機能する可能性があるという。
すでに Microsoft は、2025年1月の Patch Tuesday で、CVE-2025-21333 に対処している。Windows ユーザーに強く推奨されるのは、最新のセキュリティ更新プログラムを適用し、潜在的な悪用を軽減することだ。
脆弱性 CVE-2025-21333 の調査に関心のあるセキュリティ研究者やペンテスター向けに、この PoC は GitHub で公開されている。その複雑さと悪用の可能性を考慮すると、パッチの適用および強力なセキュリティ対策の実装を、組織は優先する必要があるだろう。
Windows Hyper-V の脆弱性 CVE-2025-21333 に対する、PoC が公開されました。この脆弱性は、すでに実環境での悪用が確認されています。ご利用のチームは、いま一度、ご確認ください。よろしければ、2025/01/15 の「Windows Hyper-V のゼロデイ脆弱性 CVE-2025-21333 などが FIX:実環境での悪用を確認」も、Windows Hyper-V で検索と併せて、ご利用下さい。
IoT OT Security News 
You must be logged in to post a comment.