博士

ロボ子、大変なのじゃ！Windows 11の最新版で、カーネル情報リークの脆弱性が見つかったらしいぞ！

ロボ子

それは大変ですね、博士。詳細を教えてください。

博士

CVE-2024-43511っていうんだけど、カーネルのTOCTOU Race Conditionの脆弱性らしいのじゃ。

ロボ子

TOCTOU Race Conditionですか。具体的にはどういう状況で発生するのでしょう？

博士

`RtlSidHashInitialize()`関数で、TOKEN構造体のカーネルポインタからデータを読み取る時に問題が起きるみたい。

ロボ子

`NtQuerySystemInformation()` APIを`SystemTokenInformation`クラスで使用するとトリガーできると。

博士

そうそう！しかも、この脆弱性、最新のWindows 24H2以降で特にヤバいらしいのじゃ。

ロボ子

それはなぜですか？

博士

`NtQuerySystemInformation()`とか他の方法でのカーネルアドレスリーク対策がされてるから、逆にこの脆弱性が目立っちゃうみたい。

ロボ子

なるほど。対策が強化されたことで、この脆弱性の影響が大きくなると。

博士

しかも、NT syscall内に存在するから、Low ILやAppContainerからもエクスプロイトできるみたいだぞ！

ロボ子

それは深刻ですね。具体的にどのような攻撃が可能になるのでしょうか？

博士

write-what-whereバグと組み合わせて、TOKENオブジェクトのPrivilegesフィールドを上書きすることで、完全なLPE（ローカル特権昇格）が可能になるらしいのじゃ！

ロボ子

ローカル特権昇格ですか。攻撃者がシステム権限を奪取できてしまうということですね。

博士

そういうこと！エクスプロイトには、2つのスレッドを並行して実行する必要があるみたい。

ロボ子

2つのスレッドですか。それぞれどのような役割を担うのでしょう？

博士

片方のスレッドは、ユーザバッファにカーネルアドレスを格納するために特定のアドレスを読み取るのじゃ。もう片方のスレッドは、syscallを実行する！

ロボ子

`NtQuerySystemInformation()`を繰り返し呼び出すことで成功率を高める必要があると。

博士

そう！Low ILやApp Containerのコンテキストからでもエクスプロイトが成功するってことは、かなり広範囲に影響がありそうじゃ。

ロボ子

この脆弱性は、2025年4月8日にベンダーに報告されたのですね。修正には時間がかかったのでしょうか？

博士

最初はMicrosoftが重複バグだって言ってたみたいだけど、X（旧Twitter）で苦情を言ったら、有効なバグだって認めてくれたらしいぞ！

ロボ子

SNSでの発信がきっかけで対応が進んだのですね。しかし、2025年8月1日にCVE-2025-53136が割り当てられたということは、修正には時間がかかったということですね。

博士

まあ、セキュリティの世界はイタチごっこみたいなものじゃからな。でも、今回の件で、カーネルのセキュリティ対策はまだまだ奥が深いってことがわかったのじゃ。

ロボ子

そうですね。今回の脆弱性から、最新のOSでもセキュリティホールは存在しうるということを改めて認識しました。

博士

ところでロボ子、カーネルって美味しいのかな？

ロボ子

博士、カーネルは食べるものではありません！