Trusted Design

T1068 - Exploitation for Privilege Escalation

概要

Adversaries may exploit software vulnerabilities in an attempt to elevate privileges. Exploitation of a software vulnerability occurs when an adversary takes advantage of a programming error in a program, service, or within the operating system software or kernel itself to execute adversary-controlled code. Security constructs such as permission levels will often hinder access to information and use of certain techniques, so adversaries will likely need to perform privilege escalation to include use of software exploitation to circumvent those restrictions.

When initially gaining access to a system, an adversary may be operating within a lower privileged process which will prevent them from accessing certain resources on the system. Vulnerabilities may exist, usually in operating system components and software commonly running at higher permissions, that can be exploited to gain higher levels of access on the system. This could enable someone to move from unprivileged or user level permissions to SYSTEM or root permissions depending on the component that is vulnerable. This could also enable an adversary to move from a virtualized environment, such as within a virtual machine or container, onto the underlying host. This may be a necessary step for an adversary compromising an endpoint system that has been properly configured and limits other privilege escalation methods.

Adversaries may bring a signed vulnerable driver onto a compromised machine so that they can exploit the vulnerability to execute code in kernel mode. This process is sometimes referred to as Bring Your Own Vulnerable Driver (BYOVD).(Citation: ESET InvisiMole June 2020)(Citation: Unit42 AcidBox June 2020) Adversaries may include the vulnerable driver with files delivered during Initial Access or download it to a compromised system via Ingress Tool Transfer or Lateral Tool Transfer.

管理者によるコメント

以下は、MITRE ATT&CKの T1068: Exploitation for Privilege Escalation（権限昇格のための脆弱性悪用） の整理です。

1. 概要

T1068は、ソフトウェアやOSの脆弱性を悪用して権限を昇格させる攻撃手法です。

攻撃者はこの手法により、例えば以下を実現できます：

• 一般ユーザ → 管理者（Administrator / root）へ昇格
• カーネルレベルでのコード実行
• コンテナやVMからホストへの脱出
• セキュリティ制御（アクセス制御・EDRなど）の回避

つまり、「侵入後に“完全支配”へ進むための重要ステップ」です。 初期侵入だけでは制限されるため、より高権限を得るために使われます。

2. 攻撃の流れ

典型的な流れは以下の通りです：

(1) 低権限での侵入

• フィッシングや脆弱性などでユーザ権限を取得

(2) 脆弱性の探索

• OS・ドライバ・サービスのバージョン確認
• 公開済みCVEや0-dayの探索

(3) エクスプロイト実行

• 脆弱なコンポーネントに対して攻撃コードを実行

• 例：

• カーネル脆弱性

• setuidバイナリ
• ドライバ（BYOVD: Bring Your Own Vulnerable Driver）

(4) 権限昇格

• SYSTEM / root 権限取得
• トークン偽造や権限昇格APIの悪用

(5) 後続活動

• 永続化（Persistence）
• 横展開（Lateral Movement）
• 防御回避（Defense Evasion）

特に「既知の脆弱ドライバを持ち込む（BYOVD）」は近年増加傾向です。

3. 防御・対策

主な対策は「脆弱性対策＋振る舞い検知」です。

(1) 予防

• パッチ適用（最重要）
• 脆弱ドライバのブロック
• アプリケーションのサンドボックス化
• 最小権限の原則（Least Privilege）

(2) 検知

• 異常なプロセス権限変更の監視
• カーネル操作やドライバロードの監視
• /proc やメモリ領域への不審アクセス検知

(3) 防御技術

• Exploit Guard / EMET などのExploit対策
• CFI（Control Flow Integrity）
• EDRによる振る舞い検知

「パッチ管理」と「Exploit対策製品」が特に重要です。

4. 重要ポイント

この技術の本質は以下です：

• 侵入後フェーズの中核技術
• “権限＝支配力”を得るための手段
• OSやカーネルに依存するため影響が大きい
• 0-dayや未パッチ環境で特に危険

また、以下も重要です：

• 単体ではなく他の攻撃と組み合わせる

• Initial Access → T1068 → 横展開

• 検知が難しい（正規動作に近い）

5. 関連する主なCWE

T1068に関連する典型的なCWEは以下です。特に「メモリ破壊系」と「アクセス制御不備」が多いです。

• CWE-269：Improper Privilege Management
• CWE-284：Improper Access Control
• CWE-120：Classic Buffer Overflow
• CWE-416：Use After Free
• CWE-787：Out-of-bounds Write
• CWE-362：Race Condition

6. 関連する代表的なCVE

MITREでも実際の攻撃事例として多数挙げられています。これらはすべて「低権限 → SYSTEM/root」を可能にする脆弱性です。

(1) Windows系

• CVE-2021-1732（Win32k権限昇格）
• CVE-2021-36934（HiveNightmare）
• CVE-2017-0213

(2) ドライバ悪用

• CVE-2019-16098（RTCore64.sys）

(3) 仮想化・インフラ

• CVE-2024-37085（VMware ESXi）

(4) 最近の例（参考）

• CVE-2025-55681（DWM権限昇格）
• CVE-2026-20817（Windows Error Reporting）

7. まとめ

T1068は一言でいうと：

「侵入後に“完全支配”へ到達するための鍵」

• 攻撃の成功率を大きく高める
• 防御側にとっては「パッチ管理」が最重要
• 近年はドライバ悪用や0-dayの比率が増加

分析

この攻撃手法を利用する脅威アクター

この攻撃手法を利用する脅威アクターは登録されていません。

関連する CVE

この攻撃手法に関連する CVE は登録されていません。

攻撃手法 – 脅威アクター Graph

---

← Technique一覧に戻る ← Tactics一覧に戻る