Microsoft BFS の脆弱性 CVE-2025-29970 が FIX:解放後メモリ使用脆弱性と権限昇格

Microsoft Brokering File System Vulnerability Let Attackers Escalate Privileges

2025/12/22 CyberSecurityNews — Microsoft が公表したのは、Brokering File System (BFS) ドライバに存在する、深刻な解放後メモリ使用 (use-after-free) の脆弱性 CVE-2025-29970 に対する修正プログラムの情報である。この脆弱性を悪用したローカル攻撃者は、任意のアプリケーションを起点として、Windows システム上で権限を昇格させることが可能となる。たとえそれらのアプリケーションがサンドボックス化されていても、その制限を回避して脆弱性が悪用されるため、エンタープライズ・セキュリティにとって深刻な懸念事項となる。

この脆弱性は、Win32 アプリケーションを隔離する Microsoft のサンドボックス機構 Windows AppContainer/AppSilo と共に開発された、ミニ・フィルタ・ドライバ “bfs.sys” に存在する。この BFS は、分離されたアプリケーションのファイル/パイプ/レジストリ操作を管理する役割を担っており、権限昇格攻撃における格好の標的となる。

CVE IDVulnerability TypeAffected ComponentSecurity ImpactCVSS ScoreAffected Versions
CVE-2025-29970Use-After-Free (UAF)Brokering File System (bfs.sys)Local Privilege Escalation8.8 (High)Windows 11, Server 2022+
Microsoft Brokering File System の脆弱性

根本原因は、BFS の DirectoryBlockList の割り当て解除ロジックにおける不適切なメモリ管理にある。具体的には、リンク・リストの特定のエントリを解放した後に、同一ループ内で残りのエントリを反復処理するという不適切な実装により、典型的な解放後メモリ使用状態が発生する。

BfsProcessDeletePolicyEntryRequest IOCTL によりポリシー・エントリが削除されると、この脆弱な割り当て解除プロセスがトリガーされ、攻撃者が解放済みメモリ構造を操作できる余地が生じる。

Vulnerability Overview
Vulnerability Overview

この脆弱性を発見したセキュリティ調査チーム HT3Labs は、”bfs.sys” バージョン 26100.4061 に影響を及ぼす欠陥を特定し、その詳細を報告した。これを受けた Microsoft は、パッチの適用において、割り当て解除ループの機能を専用の BfsCloseRootDirectory 関数に分離し、すべてのエントリ処理が完了した後にのみ、リストの解放が行われるよう修正した。

悪用要件および対応策

この脆弱性の悪用には、特定の条件が必要となる。攻撃者は AppSilo トークン機能を持つ適切なプロセスを偽装しなければならない。また、システム内にポリシー・エントリを作成し、解放メモリの再利用を強制するために、削除操作を継続的にトリガーする必要がある。

テスト結果によると、Medium の整合性レベルを持つプロセスのみが BFS デバイスにアクセスできることが確認された。これにより悪用の範囲は一定の制限を受けるが、リスクは依然として残存する。

具体的な攻撃シーケンスは、ローボックス・トークンの偽装/分離アプリケーション・ディレクトリへの一時ファイル作成/IOCTL ベースの高速な追加・削除サイクルの実行で構成される。メモリ割り当てパターンの影響が生じるため、即時のシステム・クラッシュは観測されなかったが、継続的な悪用を試みた場合には、”bfs.sys” において致命的なシステム・エラー 0x00000050 が確実に発生する。

この脆弱性は、Windows サンドボックス機能を使用するシステムにとって、とりわけセキュリティ強化を目的としてアプリケーション分離を導入している企業環境にとって、深刻な脅威となる。

すでに Microsoft は、2025年1月に修正プログラムをリリースしている。したがって、組織に対して強く推奨されるのは、修正プログラムを優先的に適用することである。セキュリティ・チームにとって必要なことは、Medium の整合性レベルを標的とする悪用試行を継続的に監視することである。また、修正プログラムの展開が完了するまでの間は、サンドボックス環境における信頼できないアプリケーション実行の制限が推奨される。

今回の調査結果について PixiePointSecurity が指摘するのは、特殊なセキュリティ・ドライバであっても、微細なメモリ管理欠陥の影響を受け得るという事実である。それが浮き彫りにするのは、Windows カーネル・モード・コンポーネントに対する継続的なセキュリティ評価の必要性である。

この問題の原因は、Windows アプリケーションを隔離する仕組みを管理する、”bfs.sys” というドライバ内のメモリ管理の不備にあります。具体的には、メモリ上のリストからデータを削除する際の、特定のエントリ・データを解放した直後に、同じ場所を使い続けてしまう解放後メモリ使用 (use-after-free) という現象が発生します。本来は、すべての処理が終わってからメモリを解放すべきですが、処理の途中で解放してしまう実装になっているため、その隙間を攻撃者が悪用できる状態にあります。2025年1月に修正プログラムがリリースされていますので、パッチ適用の有無を、ご確認ください。よろしければ、Microsoft での検索結果も、ご参照ください。