Windows Kernel の脆弱性 CVE-2026-40369:SYSTEM 権限昇格の PoC が登場

Windows Kernel Vulnerability Lets Attackers Modify Kernel Memory Counters

2026/05/27 gbhackers — Windows カーネルの深刻な脆弱性 CVE-2026-40369 に対して PoC が提供された。この脆弱性を悪用する攻撃者は、非特権プロセスであるブラウザ・レンダラー・サンドボックスなどから、カーネル・メモリに対する任意のインクリメントを引き起こし、SYSTEM 権限への昇格が可能であることが明らかになった。この脆弱性は、Windows 11 24H2 〜 25H2 に影響を及ぼす。

Windows カーネルの脆弱性

脆弱性 CVE-2026-40369 は、Windows カーネルにおける信頼されていないポインタ参照の不備により発生するローカル権限昇格プリミティブである。この問題は “ntoskrnl.exe” 内の ExpGetProcessInformation に存在し、NtQuerySystemInformation を 1 回呼び出すだけで到達可能である。

NtQuerySystemInformation が情報クラス 253 (SystemProcessInformationExtension) で呼び出される際に、バッファ長がゼロの場合は適切な検証がバイパスされ、呼び出し元が指定したポインタが ExpGetProcessInformation に渡される。

これにより、ユーザー・コンテキストを問わずに動作する、12 バイトのカーネル書き込み (インクリメント) プリミティブが成立する。この問題は Windows 11 24H2/ 25H2 に影響するが、一部の情報では Windows Server 2025 にも影響が及ぶ可能性が指摘されている。

Microsoft と第三者の評価では CVSS 約 7.8 (Important) とされており、低い攻撃難易度と、悪用時の機密性/完全性/可用性への高い影響が示されている。

公開された解析によると、NtQuerySystemInformation の複数の情報クラス (5 および 253) は共通のヘルパー関数 ExpGetProcessInformation を使用する。クラス 253 では、ユーザー指定バッファが内部ポインタ pExtensionOut に直接代入される。

その後に、システムは全プロセスを走査するループに入る。本来、この処理の前には ProbeForWrite による検証が行われ、出力バッファが安全なユーザーモード・アドレスであることが確認される。しかし、バッファ長がゼロの場合、この検証は完全にスキップされる。

クラス 253 の処理ループでは、攻撃者が制御するアドレスに対して、各プロセスごとに 3 つの DWORD がインクリメントされる。これには、一般カウンタ/アクティブスレッド数の累積/ハンドル数の累積が含まれる。

バッファサイズの不足が検出され、STATUS_INFO_LENGTH_MISMATCH が設定されるが、関数は即時終了せず、すべての書き込み処理を実行した後にエラーが返される。

この設計により、本来は致命的ではない長さの不一致が、高い信頼性が必要とされる任意のカーネル・インクリメント・プリミティブへと変換される。

強く制限された環境である Chrome/Edge/Firefox などのレンダラー・サンドボックスからも、このプリミティブの悪用が可能になると、セキュリティ研究者たちは指摘している。

NtQuerySystemInformation は “win32k.sys” の GUI を呼び出すものではなく、コア NT システムコールであるため、このケースでは Chrome の win32k ロックダウンは適用されない。

対象となる情報クラスでは、特権チェック/トークン制限/整合性レベル制御などが行われないため、低信頼プロセスであっても直接トリガーできる。したがって、たとえばブラウザ内のリモートコード実行の脆弱性との連鎖により、サンドボックスからカーネル・レベルへの権限昇格が可能となる。

公開された分析結果には、プリフェッチベースのサイドチャネル・ツールなどの KASLR 回避手法と組み合わせることで、単一のブラウザタブからシステムの完全制御へと、100% の再現性で移行できることが示されている。

研究者である Ori Nimron が、この脆弱性に対する完全なエクスプロイト・パッケージを公開している。そこに含まれるのは、基本的な PoC/完全なローカル権限昇格コード/Chrome サンドボックス環境を想定したバリアントである。

公開済みのエクスプロイトと KASLR リークと組み合わせることで、SYSTEM 権限でのコード実行が可能であることが、ソーシャルメディアや脆弱性情報で確認されている。

すでに Microsoft は、2026年5月の Patch Tuesday の累積更新で CVE-2026-40369 に対処している。

Windows 11 24H2/25H2 を使用する組織は、これらの更新プログラムの適用を最優先とすべきである。一部の情報では、攻撃面を完全に排除できるコンフィグ・ベースの回避策は存在しないとされている。

パッチ適用が完了するまでの間、セキュリティチームは以下の対応を検討すべきである:

  • ブラウザの攻撃面を制限する。
  • 異常なカーネル・クラッシュの監視を強化する。
  • 権限昇格後の挙動を検知できる EDR を導入/強化する。

この脆弱性は、低権限からカーネル・レベルへの昇格を、きわめて容易にするものだ。特にブラウザ攻撃チェーンと組み合わさることで、深刻なリスクをもたらす。

Windows カーネルに関する問題は、システムコールの処理時におけるユーザー指定ポインタの検証不備が原因となっています。脆弱性 CVE-2026-40369 の原因は、NtQuerySystemInformation を呼び出す際にバッファ長をゼロにすると、本来行われるべき安全なアドレスの検証が完全にスキップされてしまう設計上の欠陥にあります。この検証をバイパスした状態で処理ループが継続されるため、攻撃者が指定したカーネルメモリのアドレスに対して、値の書き換え (インクリメント) が実行されてしまいます。その結果、ブラウザのサンドボックスのような低権限のプロセスからであっても SYSTEM 権限への昇格を許す状態を招いています。精度の高い PoC が提供され、攻撃の可能性が高まっています。