2019/07/09: SE201901: SoftEther VPN Server NDIS 5.x Windows ローカルブリッジドライバのローカル権限昇格の脆弱性

    公開日: 2019/07/09

     

    SoftEther VPN セキュリティアドバイザリー記事は、影響力の高い脆弱性 (任意のコードの実行または同等のもの) が確認された場合に発行されるものです。

    概要

    PacketiX VPN / SoftEther VPN 4.29 Build 9680 またはそれ以前のバージョンには、NDIS 5.x ベースのローカルブリッジモジュールが利用されている場合に影響のある脆弱性があります。この脆弱性により、ローカルの Windows (VPN サーバーを稼働させているコンピュータそのもの) にすでにログオンをしている攻撃者は、Windows のローカル特権の昇格攻撃やブルースクリーンを引き起こすことが可能です。

    この脆弱性を悪用するためには、攻撃者はまず最初に PacketiX VPN Server / SoftEther VPN Server を稼働させているローカルの Windows システムにログオンする必要があります。その後、攻撃者は、特別に細工されたプログラムを実行することにより、この脆弱性を引き起こすことができます。

    この脆弱性は、Windows 2000, Windows XP, Windows Vista, Windows 7 および Windows 8.0 (Windows 8.1 へのアップデート前の古いバージョン) においてローカルブリッジ機能または SecureNAT 機能を有効にしているサーバーコンピュータにおいてのみ発生します。(これらのバージョンの Windows に対応する Windows Server ファミリーも影響を受けます。)

    Windows 8.1 および Windows 10 (Windows Server 2012 R2, 2016 および 2019)、ならびに Linux, FreeBSD, macOS または Solaris は影響を受けません。

    この脆弱性は、以下のいずれかの条件が成立したときにのみ発生します。

    1. VPN システム管理者が、同一の Windows コンピュータを、VPN サーバー目的と、一般ユーザー権限でのログインを許容するローカルまたはリモートログインサーバー目的 (例: 組織におけるターミナルサーバー) として共有している場合。
    2. VPN システム管理者が、ローカルの VPN サーバーコンピュータ上で信用されない任意の危険なプログラムを実行することを許容している場合。

    影響を受けるソフトウェア

    • PacketiX VPN Server 4.29 Build 9680 またはそれ以前 (Windows 用)
    • PacketiX VPN Bridge 4.29 Build 9680 またはそれ以前 (Windows 用)
    • SoftEther VPN Server 4.29 Build 9680 またはそれ以前 (Windows 用)
    • SoftEther VPN Bridge 4.29 Build 9680 またはそれ以前 (Windows 用)
    • VPN Gate Relay Service 4.29 Build 9680 またはそれ以前 (Windows 用)


    この脆弱性は、Windows 2000, Windows XP, Windows Vista, Windows 7 および Windows 8.0 (Windows 8.1 へのアップデート前の古いバージョン) においてローカルブリッジ機能または SecureNAT 機能を有効にしているサーバーコンピュータにおいてのみ発生します。(これらのバージョンの Windows に対応する Windows Server ファミリーも影響を受けます。)

    Windows 8.1 および Windows 10 (Windows Server 2012 R2, 2016 および 2019)、ならびに Linux, FreeBSD, macOS または Solaris は影響を受けません。

     

    回避方法

    以下の方法で、この脆弱性を回避できます。

    • 同一のコンピュータを、VPN サーバーの目的と、非特権ユーザーのためのリモートログインサーバーの目的 (例: 組織におけるターミナルサーバー) として共有しない。
       
    • ローカルの VPN サーバーコンピュータ上で、攻撃者が信用されない任意の危険なプログラムを実行することを許容しない。

     

    修正されたソフトウェア

    脆弱性を修正するため、以下のソフトウェアがリリースされています。

    注 1) VPN Server / Bridge のアップグレードインストールは、次回 Windows を再起動するときまで、自動的にローカルブリッジモジュールを再ロードしません。もしアップグレードインストール時においてローカルブリッジ機能が稼働している場合においては、アップグレード後に Windows を再起動してください。

    注 2) Version 4.30 は、ベータリリースです。ベータリリースは、RTM 版と比較して安定性が低い場合があります。RTM バージョンは、本ベータ版に関して一定の十分な期間に基づく安定性の評価が完了した後にリリースされる予定です。ほとんどの VPN サーバーの運用環境においては、上記の「脆弱性の回避方法」の事項に沿って運用されているものと考えられますが、それらの運用環境においてはこの脆弱性による影響を受けないことから、そのような場合において、このベータ版アップデートを運用環境においてインストールする必要はなく、また、推薦されません。

    注 3) 本日時点においては SHA-2 コード署名証明書のみが商用デジタル証明書として入手可能であるにもかかわらず、Windows Vista の 64-bit バージョンにおいては、Version 4.30 のローカルブリッジドライバで利用されている SHA-2 コード署名を検証する能力が欠けています。Windows Vista システムが SHA-2 コード署名されたモジュールのロードを拒否する場合は、カーネルモードドライバ署名の検証を、F8 ブートメニューを用いて無効化する必要があります。この問題は Windows Vista 64-bit 版のものです。Microsoft 社による Windows Vista のサポート期限は終了しており、Microsoft 社はこの問題を解決する予定はないようです。

     

    Acknowledgments

    This fix is based on a report by DownWithUp.