Windows Hyper-Vの脆弱性PoCが公開(CVE-2025-21333)

修正済みのWindows Hyper-Vの脆弱性(CVE-2025-21333)を悪用するPoCが公開されました。定例アップデートで修正済みですが未対応者は対応する事をお勧めします。

脆弱性の概要

 2025 年 1 月の Patch Tuesday アップデートで修正されました。PoC は、vkrnlintvsp.sys ドライバーを標的とした攻撃を示しており、I/O リング バッファー エントリの上書きを利用して、Windows カーネルで任意の読み取り/書き込み機能を取得します。

なおこの脆弱性は脅威の攻撃者によって積極的に悪用されていることが検出さています。

PoCの概要

CVE-2025-21333は、Windows 11のカーネルドライバvkrnlintvsp.sysに存在する脆弱性で、攻撃者が特定の操作を行うことでカーネルメモリの任意の読み書きを可能にし、権限昇格ができるという問題です。

この脆弱性は、WindowsのIO Ringバッファのエントリを操作することで発生し、攻撃者はBuildIoRingWriteFile()やBuildIoRingReadFile()といったシステムAPIを利用して、カーネルメモリの書き換えを行うことが可能です。

PoCに解説されている攻撃の手法としては、まずWindowsのWNF（Windows Notification Facility）オブジェクトを解放し、そのメモリ領域を制御可能なデータで再確保することで、IO Ringバッファの特定のエントリを不正に操作できるようにします。

これにより、カーネル空間の特定のメモリアドレスを書き換え、プロセスのトークンをSYSTEM権限に変更することができます。成功すると、通常のユーザー権限のプロセスが、Windowsの最上位権限であるNT AUTHORITY\SYSTEMとして動作できるようになります。

影響を受けるシステムはWindows 11 23H2が確認されており、24H2でも同様の攻撃が可能である可能性があります。

この脆弱性が悪用されると、攻撃者は完全な管理者権限を取得できるため、ランサムウェアやマルウェアに悪用されるリスクが高まります。また、Windows Sandboxを経由して攻撃が行われることも確認されているため、必要がない場合は無効化することが推奨されます。