脅威の調査

広く使用されているセキュリティドライバーに複数の脆弱性が発見される

Panda Security のソフトウェアに関する誤報インシデントに関連して、3 件の CVE が正式に付与される

** 本記事は、Multiple vulnerabilities discovered in widely used security driver の翻訳です。最新の情報は英語記事をご覧ください。**

2023 年 7 月に、pskmad_64.sys (Panda Memory Access Driver) という名前のドライバーを保護されたマシンにロードしようとする試みにより、ソフォスのプロアクティブな動作検知ルールがトリガーされました。このドライバーは Panda Security のもので、同社の多くの製品で使用されています。

EDR 製品の無効化を目的とした正規ドライバーの悪用が増加していること (数か月前に Microsoft の署名入りドライバーの危険性に関する記事で検証した問題) や、そのドライバーがロードされた背景を踏まえて、ソフォスはこのファイルの詳しい調査を開始しました。

評価のやり直しとお客様とのやり取りを経て、元のインシデントは APT のシミュレーションテストとして識別されました。しかし、ソフォスの調査の結果、3 件の異なる脆弱性が発見されました。脆弱性はすでに Panda のセキュリティチームに報告されています。これらの脆弱性は、現在 CVE-2023-6330、CVE-2023-6331 および CVE-2023-6332 として追跡されており、Panda が対応にあたっています。以下に、脆弱性とその修正に関する Panda からの情報を CVE ごとに記載します。

各 CVE の調査結果

CVE-2023-6330 (Registry)

説明

レジストリハイブ \\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion には、OS のバージョンを判定するために使用される重要な情報が多く含まれています。CSDVersion は、OS の Service Pack レベルを表します。CSDBuildNumber は対応するビルドの番号です。

pskmad_64.sys ドライバーが、これらのレジストリ値を適切に検証していませんでした。攻撃者が細工したコンテンツを CSDBuildNumber や CSDVersion に配置することで、非ページメモリがオーバーフローする可能性があります。

影響

少なくとも、サービス拒否 (DoS) に利用できます。さらに調査を進めると、攻撃者は CVE-2023-6330 を他の脆弱性と連鎖させることで RCE (リモートコード実行) を実現できる可能性があります。この脆弱性の CVSS ベーススコアは 6.4 であり、Panda は中程度の潜在的な影響があると評価しています。

この問題に関する完全なアドバイザリは、WatchGuard の Web サイトで WGSA-2024-00001 「WatchGuard Endpoint pskmad_64.sys Pool Memory Corruption Vulnerability (プールメモリ破損の脆弱性)」として公開されています。

CVE-2023-6331 (OutOfBoundsRead)

説明

IOCTL コード 0xB3702C08 を持つ IRP リクエストを経由して、悪意を持って細工されたパケットをドライバーに送信することで、攻撃者は非ページメモリ領域をオーバーフローさせ、メモリ境界外書き込みを実行する可能性があります。この脆弱性は、memmove 経由で非ページメモリプールにデータを移動する際の境界チェックが欠落しているために存在します。

影響

少なくとも、サービス拒否 (DoS) に利用できます。さらに調査を進めると、攻撃者は CVE-2023-6331 を他の脆弱性と組み合わせることで RCE (リモートコード実行) を実現できる可能性があります。この脆弱性の CVSS ベーススコアは 6.4 であり、Panda は大きな潜在的な影響があると評価しています。

この問題に関する完全なアドバイザリは、WatchGuard の Web サイトで WGSA-2024-00002 「WatchGuard Endpoint pskmad_64.sys Out of Bounds Write Vulnerability (境界外書き込みの脆弱性)」として公開されています。

CVE-2023-6332 (Arbitrary Read)

説明

カーネルドライバーのバリデーションが不十分なため、攻撃者はコード 0xB3702C08 で IOCTL リクエストを送信し、カーネルメモリから直接読み取ることができます。その結果、任意読み取りの脆弱性が発生します。

影響

攻撃者は、この脆弱性を利用して機密データを漏えいさせたり、他の脆弱性と連鎖させて、より巧妙で影響力の高いエクスプロイトを仕掛けることができます。この脆弱性の CVSS ベーススコアは 4.1 であり、Panda は中程度の潜在的な影響があると評価しています。

この問題に関する完全なアドバイザリは、WatchGuard の Web サイトで WGSA-2024-00003 「WatchGuard Endpoint pskmad_64.sys Arbitrary Memory Read Vulnerability (任意読み取りの脆弱性)」として公開されています。

調査したファイルの SHA256 値は 2dd05470567e6d101505a834f52d5f46e0d0a0b57d05b9126bbe5b39ccb6af68、ファイルバージョンは 1.1.0.21 です。慎重を期して、Panda による調査結果を待つ間、私たちはこのファイルの以前のバージョンすべてを潜在的な脆弱性があるものとして扱いました。調査により、このアプローチは正しかったことが確認されました。

Panda のアドバイザリにも記載されている通り、影響を受けるドライバーは以下の製品に含まれています。

  • バージョン 8.00.22.0023 までの WatchGuard EPDR (EPP、EDR、EPDR) および Panda AD360
  • バージョン 22.02.01 までの Panda Dome (Essential、Advanced、Complete、Premium の各バージョン)

消費者向け製品である Panda Dome の修正バージョンは 22.02.01 です。企業向け製品である WatchGuard EPDR および AD360 の修正バージョンは、8.0.22.0023 です。

時系列

2023年 8月 28日: 概念実証 (PoC) と詳細な文章を Panda のセキュリティチームに送付。

2023年 9月 21日: Panda のセキュリティチームから報告を確認したとの返答を受け取る。

2023年 10月 30日: Panda のセキュリティチームが、問題を修正する計画をソフォスに通知。

2023年 12月 6日: Panda が、これらの脆弱性に割り当てられている 3 件の CVE をソフォスに通知。

2024年 1月 18日: 修正バージョンがリリースされる。

コメントを残す

Your email address will not be published. Required fields are marked *