Trusted Design

CVE-2016-3309 の詳細

CVEの情報

説明:
The kernel-mode drivers in Microsoft Windows Vista SP2; Windows Server 2008 SP2 and R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold and R2; Windows RT 8.1; and Windows 10 Gold, 1511, and 1607 allow local users to gain privileges via a crafted application, aka "Win32k Elevation of Privilege Vulnerability," a different vulnerability than CVE-2016-3308, CVE-2016-3310, and CVE-2016-3311.

CVE更新日: 2016-08-09 21:59:16.113000

CVSSバージョン: 3.1

CVSSスコア: 7.8

KEVの情報

KEV更新日: 2022-03-15

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.462700000

EPSS更新日: 2026-04-16 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: high

Automatable: False

AIを使った解説

解説:

CVE-2016-3309に関する調査結果を以下にまとめます。

1. 脆弱性の概要

CVE-2016-3309は、Microsoft Windowsのカーネルモードドライバーにおける特権昇格の脆弱性です。特に、win32kコンポーネントのカーネルモードドライバーにアクセス制御の脆弱性があります。この脆弱性は、「Win32k特権昇格の脆弱性」として知られています。

1.1 影響

この脆弱性が悪用されると、攻撃者はカーネルモードで任意のコードを実行できるようになります。これにより、ローカルユーザーはSYSTEM権限を取得することが可能になります。結果として、システムの機密性、完全性、可用性に影響が及ぶ可能性があります。

1.2 深刻度

  • CVSS v3.1基本評価スコア: 7.8 (High)
    • Vector: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
      • (攻撃元区分: ローカル, 攻撃条件の複雑さ: 低, 必要な特権レベル: 低, ユーザーインタラクション: 不要, スコープ: 変更なし, 機密性への影響: 高, 完全性への影響: 高, 可用性への影響: 高)
  • CVSS v2.0基本評価スコア: 7.2 (High)
    • Vector: (AV:L/AC:L/Au:N/C:C/I:C/A:C)
  • 攻撃の実行は容易であり、この脆弱性に対する公開されたエクスプロイトも存在します。

2. 対象となる環境

2.1 影響を受けるOSバージョン

以下のMicrosoft Windowsのバージョンが影響を受けます。

  • Windows Vista SP2
  • Windows 7 SP1
  • Windows 8.1
  • Windows RT 8.1
  • Windows 10 Gold (バージョン 1507), 1511, 1607
  • Windows Server 2008 SP2
  • Windows Server 2008 R2 SP1
  • Windows Server 2012 Gold
  • Windows Server 2012 R2

2.2 影響を受ける設定

本脆弱性はカーネルモードドライバー、特にwin32kコンポーネントに存在するため、特定の「設定」が脆弱性を引き起こすわけではありません。影響を受けるOSバージョンを実行しているシステムであれば、低レベルの権限とユーザーの操作なしに攻撃が可能です。

3. 影響を受けた時の兆候

この脆弱性は特権昇格であるため、直接的な「兆候」がユーザーに現れることは稀です。しかし、脆弱性が悪用された場合、攻撃者はシステム上でより高い権限(SYSTEMなど)を獲得し、不正なプログラムのインストール(例: MysterySnail RAT)や、通常では許可されない操作を実行する可能性があります。これにより、システムの異常な動作、パフォーマンスの低下、または他のセキュリティインシデントに繋がる可能性があります。

4. 推奨対策

4.1 本対策

  • セキュリティ更新プログラムの適用: Microsoftは、この脆弱性に対処するためのセキュリティ更新プログラム (MS16-098) をリリースしています。ベンダーの指示に従い、これらの更新プログラムを速やかに適用することが最も重要な対策です。
    • この脆弱性は、CISAの「Known Exploited Vulnerabilities Catalog」に登録されており、2022年4月5日までにベンダーの指示に従って更新プログラムを適用することが求められています。

4.2 暫定回避策(緩和策)

  • 脆弱性の公開直後には、一時的な緩和策が示された可能性もありますが、検索結果では具体的な詳細な回避策は明確に示されていません。特権昇格の性質上、パッチの適用が最も効果的かつ推奨される対策です。

5. 他に解説すべき観点

  • CWE (Common Weakness Enumeration): 本脆弱性は、CWE-264 (Permissions, Privileges, and Access Controls) に分類されます。
  • 攻撃の容易さ: 攻撃の実行は容易であり、公開されているエクスプロイトコードも存在します。
  • 攻撃経路: 攻撃にはローカルアクセスが必要となります (AV:L)。
  • CISA KEV Catalog: 本脆弱性はCISA (Cybersecurity and Infrastructure Security Agency) の「Known Exploited Vulnerabilities Catalog」に掲載されており、実環境で活発に悪用されていることが示されています。
  • 脆弱性の再発: この脆弱性の根本原因である win32kfull!bFill の整数オーバーフローの脆弱性と非常によく似た問題が、後のWindows 10バージョンで再導入され、2017年9月に再度パッチが適用されています。
  • 関連するゼロデイ: 2021年後半には、CVE-2016-3309のエクスプロイトのデバッグ文字列を持つ新しいゼロデイ脆弱性 (CVE-2021-40449) が確認されました。これは、CVE-2016-3309に対するパッチをバイパスし、MysterySnail RATをインストールするために利用されたと報告されています。

参照したサイト

NVDサイト

NVDでCVEの詳細を見る

戻る