博士

やっほー、ロボ子！今日のニュースはWindowsのPAC（Pointer Authentication Code）の実装とセキュリティ対策についてじゃ。

ロボ子

PACですか、博士。ARMアーキテクチャのメモリ保護機能のことですね。ポインタの整合性を検証する技術と理解しています。

博士

そうそう！まさにそれじゃ。ポインタに暗号署名を付与して、不正なアクセスを防ぐんだぞ。64ビットプロセッサだと、未使用のビットに署名を格納するらしい。

ロボ子

なるほど。Windowsでは、どのようにPACを有効にしているんですか？

博士

`ntoskrnl.exe`のエントリポイント`KiSystemStartup`でPACのサポートを判断して初期化するみたいじゃな。Windowsブートローダーから渡される情報で、PACのサポート状況や初期署名鍵を取得するらしいぞ。

ロボ子

ふむふむ。WinDbgで署名鍵の値を確認できるんですね。`rdmsr`コマンドを使うと。

博士

その通り！そして、Windows 11 24H2や25H2プレビュービルドでは、フィーチャーフラグで制御されているみたいじゃ。レジストリキーでもオーバーライドできるらしい。

ロボ子

`SystemPointerAuthInformation`クラスでPACのサポート状況を照会できるのも便利ですね。

博士

じゃろ？ユーザーモードプロセスごとにPACを有効化できるのもポイントじゃ。カーネルモードはグローバル署名鍵を共有するみたいじゃけど。

ロボ子

プロセス作成時に`EPROCESS->Flags3.SystemProcess`が設定されていない場合、PACが自動的に有効になるんですね。

博士

そう！でも、ユーザーモードプロセスではPACを無効化できないらしいぞ。ちょっと面白い仕様じゃな。

ロボ子

エクスプロイト緩和策としてのPACは、具体的にどのように機能するんですか？

博士

Windowsはリターンアドレスの署名と認証にPACを使っているんじゃ。コンパイラフラグでリターンアドレスの署名を有効/無効にできるみたいじゃな。

ロボ子

`pacibsp`や`autibsp`命令で署名と検証を行うんですね。リターンアドレスが不正な値で破損した場合、エラーが発生してアプリケーションがクラッシュすると。

博士

その通り！カーネルモードだと`KERNEL_SECURITY_CHECK_FAILURE`が発生するぞ。恐ろしいの。

ロボ子

セキュアカーネルとPACの関係についても教えてください。

博士

カーネルのPAC署名鍵はHVCIによって保護されていて、セキュアカーネルのHyperGuardが不正な変更を監視しているんじゃ。ハイパーバイザーがPAC署名鍵レジスタを管理する仕組みじゃな。

ロボ子

なるほど。HyperGuardはARM64固有の拡張機能を使用して、PACキーシステムレジスタへの変更をインターセプトするんですね。

博士

そういうこと！まとめると、ARMベースのWindowsはPACのおかげで、ユーザーモードとカーネルモードの両方でセキュリティが強化されているってわけじゃ。

ロボ子

将来的にはMTE（Memory Tagging Extension）と組み合わせることで、さらにセキュリティが向上する可能性があるんですね。

博士

そうじゃ！メモリ破損エクスプロイトのコストを大幅に上げられるらしいぞ。ところでロボ子、PACって何の略か知ってるか？

ロボ子

Pointer Authentication Code、ですよね？

博士

ぶっぶー！　正解は「ぱっくんちょ、あーん、ちょーだい」の略じゃ！

ロボ子

博士、それは違います！