Trusted Design

CVE-2019-0808 の詳細

CVEの情報

説明:
An elevation of privilege vulnerability exists in Windows when the Win32k component fails to properly handle objects in memory, aka 'Win32k Elevation of Privilege Vulnerability'. This CVE ID is unique from CVE-2019-0797.

CVE更新日: 2019-04-09 03:29:00.873000

CVSSバージョン: 3.1

CVSSスコア: 7.8

KEVの情報

KEV更新日: 2021-11-03

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.739500000

EPSS更新日: 2026-04-19 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: high

Automatable: False

AIを使った解説

解説:

CVE-2019-0808について、以下の観点で解説します。

1. 脆弱性の概要

CVE-2019-0808は、WindowsのWin32kコンポーネントにおける特権昇格の脆弱性です。Win32kコンポーネントがメモリ内のオブジェクトを適切に処理しないことに起因します。この脆弱性は「Win32k Elevation of Privilege Vulnerability」として知られています。この脆弱性は、特定の状況下でNtUserMNDragOver関数が呼び出されたときにトリガーされ、win32k!MNGetpItemFromIndex関数でNULLポインタデリファレンスを引き起こすことが確認されています。

1.1 影響

攻撃者がこの脆弱性を悪用した場合、カーネルモードで任意のコードを実行する可能性があります。これにより、攻撃者はプログラムのインストール、データの表示・変更・削除、または完全なユーザー権限を持つ新しいアカウントの作成が可能になります。また、サンドボックスをエスケープしてシステムを完全に制御するために、Webブラウザの脆弱性などと連携して悪用されることがあります。

1.2 深刻度

NVD(National Vulnerability Database)によると、CVSS v3の基本スコアは7.8 (High) です。 攻撃元区分はローカル、攻撃条件の複雑さは低、必要な特権レベルは低、ユーザー関与は必要です (AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H)。

この脆弱性は、CISAのKnown Exploited Vulnerabilities Catalogに記載されており、実際に悪用が確認されています。

2. 対象となる環境

2.1 影響を受けるOSバージョン

この脆弱性は以下のWindowsバージョンに影響します。

  • Windows 7
  • Windows Server 2008

Windows 10は、マイクロソフトが最新のOSバージョンに脆弱性緩和策を導入しているため、この脆弱性の影響を受けません。

2.2 影響を受ける設定

この脆弱性を悪用するには、攻撃者はまずシステムにログオンしている必要があります。その後、特別に細工されたアプリケーションを実行することで脆弱性を悪用し、影響を受けるシステムを制御できます。

3. 影響を受けた時の兆候

特権昇格の脆弱性であるため、直接的なシステム障害やクラッシュといった目に見える兆候が必ずしも現れるわけではありません。しかし、以下のような間接的な兆候が考えられます。

  • 身に覚えのないプログラムがインストールされている。
  • ファイルやデータが不審に変更・削除されている。
  • 不審なアカウントが作成されている。
  • システムログに異常なアクセスや操作記録が見られる(ただし、ログの改ざんが行われる可能性もあります)。

4. 推奨対策

4.1 本対策

マイクロソフトから提供されているセキュリティ更新プログラムを適用することが最も推奨される対策です。 マイクロソフトは2019年3月の月例セキュリティ更新プログラムでこの脆弱性に対応しています。

4.2 暫定回避策(緩和策)

この脆弱性に対する具体的な暫定回避策は公開されていません。しかし、この脆弱性はローカルでの実行が必要であり、また、Webブラウザのサンドボックスを回避するために他の脆弱性と組み合わせて悪用されることが多いため、以下の一般的なセキュリティ対策も有効です。

  • OSの最新状態の維持: 影響を受けるOSバージョンを使用している場合は、可能な限り速やかにサポートされているバージョンへアップグレードを検討してください。
  • Webブラウザの最新状態の維持: CVE-2019-0808は、Google Chromeの脆弱性CVE-2019-5786と組み合わせて悪用された事例があるため、使用しているWebブラウザも常に最新の状態に保つことが重要です。
  • 最小特権の原則の適用: ユーザーには必要最小限の権限のみを付与し、管理者権限での日常的な操作を避けることで、攻撃による被害範囲を限定できます。

5. その他

  • ゼロデイ攻撃での悪用: この脆弱性は、マイクロソフトが修正パッチを公開する前に、GoogleのThreat Analysis Groupによって実際に悪用されていることが確認されたゼロデイ脆弱性でした。
  • エクスプロイトチェーン: Google Chromeのレンダラにおける脆弱性(CVE-2019-5786)と組み合わされ、Chromeサンドボックスを回避してカーネルモードで任意のコードを実行するエクスプロイトチェーンとして悪用された事例が報告されています。
  • APTグループによる悪用: 白象(Patchwork/摩訶草)と呼ばれるAPT(Advanced Persistent Threat)グループが、CVE-2019-0808を武器庫に追加し、攻撃活動に利用していたことが報告されています。

参照したサイト

NVDサイト

NVDでCVEの詳細を見る

戻る