Windows 11の「モバイルデバイス」機能に潜むDLLハイジャックの脆弱性「CVE-2025-24076」が新たに報告された。この問題を悪用すれば、攻撃者は300ミリ秒というわずかな時間で標的のPCに侵入し、管理者権限を獲得することが可能となる。脆弱性は2024年9月に発見され、2025年3月に修正アップデートが提供されたが、現時点で実際の悪用は確認されていない。セキュリティ研究者はDetoursライブラリを利用してDLL呼び出しの傍受とすり替えに成功しており、再現性も証明済みである。

アップデート未適用の環境では深刻なリスクが残るため、正規のWindows Updateから速やかに最新版へ更新する必要がある。

DLLハイジャックによる侵入は現実の脅威 CVE-2025-24076の技術的背景

脆弱性「CVE-2025-24076」は、Windows 11の「モバイルデバイス」機能が参照するDLLファイルの読み込みプロセスを狙ったもので、攻撃者がDLLの呼び出しタイミングを掌握すれば、300ミリ秒という極めて短い時間内に悪意あるDLLを差し替えることができる。このDLLハイジャックにより、管理者権限の取得が可能となり、システム内で制限のない操作が実行できるようになる。Compass SecurityのJohn Ostrowski氏とJames Forshaw氏は、Detoursライブラリを用いた介入により、この攻撃の成立を証明しており、セキュリティ検証の実効性も高い。

この手法では、対象PCにあらかじめログインする必要があり、外部から無作為に実行されるものではないが、社内ネットワークなどで内部犯行の経路となる可能性も排除できない。Microsoftは脆弱性の深刻度を認識し、2025年3月11日のセキュリティ更新プログラムで修正したが、更新の適用が遅れている環境では依然としてリスクが残る。DLLハイジャック自体は過去にも確認されている攻撃手法だが、今回のようにOSの公式機能を足がかりにする例は特異であり、今後のアップデート設計にも影響を与えると見られる。

セキュリティ対応の盲点 正規アップデート以外の“罠”にも注意が必要

この脆弱性の修正は2025年3月のアップデートで提供済みであり、Microsoftによると現時点で実際の悪用は確認されていない。ただし、問題は脆弱性そのものにとどまらない。Ostrowski氏らの報告が示すように、攻撃の成立にはユーザーによる操作が関与する可能性があり、マルウェアやフィッシングとの併用によって攻撃成功率が高まる恐れがある。とくに、詐欺的な手口によって偽のWindowsアップデートをインストールさせる手法が確認されており、正規の「Windows Update」以外からのダウンロードは重大なリスクを伴う。

攻撃者が仕掛けるDLL置換のタイミングはごくわずかでありながらも、Detoursなどのツールを用いれば狙ったタイミングで割り込みが可能であることが実証されている。つまり、攻撃が理論上可能という段階ではなく、実際に成立させる手順も確立しているという点が問題の根深さを示す。パッチの適用だけでなく、OSの挙動や通知の扱いについても慎重に見極める必要があり、形式的な対策だけでは対応しきれない事例として注目すべき脆弱性である。

Source:MakeUseOf