Neowinは5月18日(現地時間)、「Windows 11 KB5089549 can be planted with deadly Registry hack to take over your system」において、Windows 11の最新のアップデートを適用済みのシステムでも、修正されたはずのローカル権限昇格(LPE)を可能にするゼロデイ脆弱性が残存していることが判明したと伝えた。

この脆弱性を悪用すると、一般のユーザー権限しか持たない侵入者でも、不正に管理者権限を奪取することができる。結果として、Windowsの設定変更や任意プログラムの実行、マルウェアの常駐化、機密情報の窃取などが可能となり、PCを実質的に乗っ取られる危険がある。

  • 最新パッチ適用済みのWindows 11でも、権限昇格が可能とされる脆弱性が残存 出典:Microsoft

    最新パッチ適用済みのWindows 11でも、権限昇格が可能とされる脆弱性が残存 出典:Microsoft

「修正済み」の脆弱性、現在もWindows 11で再現可能

この脆弱性の存在は、セキュリティ研究者がGitHubリポジトリ上に公開した「MiniPlasma」と呼ばれる概念実証(PoC)コードによって明らかになった。この攻撃コードは、WindowsのCloud Files Mini Filter Driver(cldflt.sys)を利用して権限昇格を試みるもので、Googleが6年前に報告した「CVE-2020-17103」に関連するもので、当時のPoCコードが現在のWindows 11でも動作したという。

cldflt.sysは、OneDriveのクラウド同期機能をサポートするカーネルレベルのファイルシステムフィルターだ。このフィルターはWindowsのファイルI/Oに接続され、ストレージにアクセスする前段階でのファイル操作の監視、フィルタリング、変更を実現する。

Microsoftは6年前にCVE-2020-17103の報告を受け、その後の更新プログラムで対処を完了したと報告している。しかし、実際にはこの脆弱性が残存していたようだ。MiniPlasmaの作者は、現在のWindows 11でもGoogleが6年前に報告した問題が依然として存在しており、当時のオリジナルのPoCコードが変更なしで動作したと報告している。

大多数のWindows 11システムが危険にさらされている

問題の脆弱性はcldflt.sysのHsmOsBlockPlaceholderAccess関数に存在し、.DEFAULTユーザーのレジストリハイブに任意のレジストリキーを書き込むことで権限昇格を実現できる。MiniPlasmaはSYSTEMレベルのシェルを生成するように改変されており、権限の低いアカウントから管理者権限が取得可能なことを実証しているという。

ただし、攻撃の成功率はシステムのタイミングや構成によって変動する。これは、攻撃が「レースコンディション」に依存しているためだ。

cldflt.sysはユーザーがOneDriveにサインインした時点で読み込まれる。エンタープライズ環境では、ユーザーがOneDriveを実際に利用していなくても影響を受ける可能性がある。つまり、Windows 11を利用する大多数のシステムが、潜在的にこの脆弱性の影響を受ける危険性があるということだ。

最新のセキュリティパッチを適用済みでも影響を受ける

セキュリティ研究者Will Dormann氏は、MiniPlasmaは2026年5月の月例セキュリティアップデートを適用したWindows 11でも機能することを確認した。ただし、Insider Preview Programの最新のCanary版では機能しなかったことも付け加えている。したがって、近い将来、正式版でもこの脆弱性への対処が完了する可能性がある。

とはいえ、なぜ6年前に修正済みとされた脆弱性が残ったままなのか、その理由は明らかになっていない。現時点では正式な修正パッチは提供されていない。暫定対策として、OneDriveを使用しないサーバや開発環境ではCloud Files Mini Filter Driverを無効化することも可能だが、その場合はOneDriveの同期機能も使用できなくなるので注意が必要だ。