Microsoft の AppLocker に脆弱性:コンフィグ欠陥を突くセキュリティ制限の回避

Microsoft’s AppLocker Flaw Allows Malicious Apps to Run and Bypass Restrictions

2025/07/21 CyberSecurityNews — Microsoft の AppLocker ブロックリスト・ポリシーに発見された、コンフィグ上の深刻な脆弱性を悪用する攻撃者は、微細なバージョン管理エラーを突くことで、セキュリティ制限を回避する可能性を得るという。この問題は、MaximumFileVersion 値の誤りに起因しており、Microsoft のアプリケーション制御フレームワークに、悪用が可能な隙間を生じさせている。この事象が浮き彫りにするのは、エンタープライズ環境におけるセキュリティ・ポリシーの、厳密な実装の重要性である。

主なポイント
  1. MaximumFileVersion の誤値 (65355 および 65535) が、AppLocker のバイパスを可能にする。
  2. 改竄されたバイナリは有効な署名を喪失するため、署名要件付きのポリシーによる攻撃の阻止は可能である。
  3. ブロック・リストの値を更新し、すべてのコピーされたセキュリティ・コンフィグの監査による修正が可能である。
AppLocker コンフィグの脆弱性

Microsoft が推奨する AppLocker コンフィグに存在する些細であり重大な不整合に、この脆弱性が起因すると、Varonis Threat Labs は報告している。

研究者たちが特定したのは、本来の MaximumFileVersion フィールドが “65535.65535.65535.65535” であるべきところ、誤って “65355.65355.65355.65355” に設定されているという事実である。

このエラーから生じるバージョン・レンジ・ギャップを悪用する攻撃者は、アプリケーション制限の回避を可能にする。この問題のあるコンフィグは、以下のように Microsoft のブロック・リストに表示される。

“65535” は符号なしの 16-Bit 整数の最大値を表す。そのため、バージョン番号が “65355.65355.65355.65355” から “65535.65535.65535.65535” の範囲に設定される実行ファイルは、理論的にポリシーの適用をすり抜ける可能性を持つ。

したがって攻撃者は、ブロック対象となる実行ファイルのバージョン・メタデータを改変し、設定された最大値を超えるようにすることで、ブロック・リストに掲載されていても実行可能な状態にできる。

多層セキュリティによる軽減

この発見は懸念すべきものであるが、Microsoft の多層セキュリティ戦略により、実際のセキュリティへの影響は大幅に緩和される。

AppLocker のブロック・リスト・ポリシーは、署名済み実行ファイルだけの実行を許可するコード署名要件と、連携して機能するよう設計されている。

したがって、攻撃者が実行ファイルのバージョン情報を変更した場合には、ファイルのデジタル署名は破損し、その結果として、変更後のファイルは “signed executables only” ルールによりブロックされる。

この多層セキュリティ設計が示すのは、たとえ単一の制御メカニズムに欠陥が存在していても、それを補完するセキュリティ対策により、実質的に悪用の防止が可能であることだ。

しかし、コード署名ポリシーを実装せず、ブロック・リストのみに依存している組織は、このバイパス手法に対して脆弱となる可能性がある。

Microsoft によるドキュメント修正

このエラーの原因について調査した結果、Microsoft のドキュメントに誤りがあることが判明した。Microsoft の公開ページのドキュメントに、誤値 “65355” が記載されていたが、Varonis による責任ある情報開示を受けて修正が行われた。

このインシデントにより明らかにされたのは、管理者が十分な検証を行わずにコンフィグをコピーすることで、ドキュメントの誤りが本番環境のセキュリティ・ポリシーに波及する恐れがあることだ。

したがって、セキュリティ専門家たちが認識すべきは、すべてのポリシー設定を慎重に確認し、セキュリティ・ルールの盲目的なコピー&ペーストを避け、多層防御戦略を採用することの重要性となる。

AppLocker を使用している組織にとって必要なことは、MaximumFileVersion の設定値を適切なものに更新することであり、また、潜在的なバイパスを防止するために、包括的なアプリケーション制御ポリシーを確実に導入することである。

AppLocker の仕組みと、ミスコンフィグによるセキュリティ制限の回避について解説する記事です。数値の入力ミスにより、大きなリスクにつながる可能性がありますが、署名付きの実行ファイルを許可する設定があれば、大きな被害にはなり難いと、この記事は指摘しています。