‘RegPwn’ Windows Registry Vulnerability Enables Full System Access to Attackers
2026/03/18 CyberSecurityNews — “RegPwn” と呼ばれる Windows の脆弱性 CVE-2026-24291 は、管理者権限 (SYSTEM 権限) の不正な取得を、一般ユーザーに許してしまう権限昇格の欠陥である。この脆弱性は、MDSec のレッド・チームにより発見された。2025年1月以降に実施された内部での演習とテストで悪用の可能性が実証され、その後の Microsoft の Patch Tuesday 2026 March で修正されている。
この脆弱性により、On-Screen Keyboard/Narrator などの、Windows 組み込みアクセシビリティ機能の管理方法を標的とする攻撃が可能になる。これらの機能は、ユーザー操作を支援するために、高度なアクセス権が付与され、ユーザー・コンテキストで動作する。
ユーザーが On-Screen Keyboard などのツールを起動すると、Windows は設定保存のためのレジストリ・キーを作成する。このレジストリ・キーは、低権限ユーザーに対しても完全な制御権を付与する。そしてログインの処理中に、これらの設定は SYSTEM プロセスによりローカル・マシンのレジストリ・ハイブへコピーされる。
新たに作成されたローカル・マシン側のレジストリ・キーは、ログイン・ユーザーによる書き込みが可能な状態を維持するため、悪用可能な攻撃経路が生じる。
この脆弱性は、ユーザー制御の設定が Windows Secure Desktop 環境と相互作用する際に顕在化する。この Secure Desktop は、ワークステーションのロックや、管理者および資格情報の入力などで用いられる隔離環境であり、SYSTEM 権限で動作する特定の信頼済みのプロセスだけが実行できる設計となっている。
この状態をユーザーがトリガーすると、アクセシビリティ設定を処理するプロセスが起動し、通常ユーザー権限と SYSTEM 権限の両方で動作する状況となる。
攻撃手法
この状況を悪用する攻撃者は、ユーザー側のアクセシビリティ・レジストリ・キーを改変し、特定の SYSTEM ファイルに対して opportunistic lock (oplock) を設定する。
ユーザーがワークステーション・ロックを行う際に、システムは改変された設定をローカル・マシンのレジストリへコピーしようとする。しかし、このタイミングで oplock が機能して処理が一時的に停止し、攻撃者に対して短時間の操作ウィンドウが与えられる。
この間に攻撃者は、ローカル・マシンのレジストリ・キーを任意の SYSTEM レジストリ・キーを指すシンボリック・リンクへ置き換える。
コピー処理は SYSTEM 権限で実行されるため、攻撃者は本来アクセス不能なレジストリ領域に任意の値を書き込むことが可能となる。MDSec の PoC は、この手法により SYSTEM サービスの実行パスを上書きし、即座に SYSTEM 権限のコマンド・プロンプトを取得するものだ。
対応策
すでに Microsoft は、Patch Tuesday 2026 March で、脆弱性 CVE-2026-24291 を修正している。管理者に対して強く推奨されるのは、最新の Windows 更新プログラムを適用して、このローカル権限昇格の攻撃経路から環境を保護することだ。
なお、MDSec は、防御を目的とする研究と検証のために、”RegPwn” のエクスプロイト・コードを GitHub 上で公開している。
訳者後書:”RegPwn” と呼ばれる Windows の脆弱性 CVE-2026-24291 の原因は、ユーザーが設定したデータが、SYSTEM 権限で動作する領域へコピーされる際の管理不備にあります。アクセシビリティ機能の設定を保存するレジストリ・キー に対して、一般ユーザーが書き込み権限を持っていることが問題の始まりです。その結果として、この設定をシステムがコピーする際に、oplock という仕組みで処理を一時停止させ、その隙にリンク先をすり替える攻撃が許されてしまいます。本来は分離されるべき一般ユーザーの操作と、OS の重要な処理が交差する瞬間に生まれる深刻な欠陥と言えます。ご利用のチームは、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.