米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は2月4日(米国時間)、企業に重大なリスクをもたらす可能性のある脆弱性をまとめた「既知の悪用された脆弱性カタログ(KNOWN EXPLOITED VULNERABILITIES CATALOG)」に、Windowsにおいて報告されているWin32k.sysドライバーの特権昇格の脆弱性「CVE-2022-21882」を追加したと発表した。CVE-2022-21882は攻撃に悪用可能なエクスプロイトが詳細な分析と共に公開されており、CISAではこの脆弱性を修正するための期日を2022年2月18日に設定した。

「既知の悪用された脆弱性カタログ」は、米国企業にとって重大なリスクとなる既知の脆弱性をリストアップしたもので、運用指令「BOD 22-01」に基づいて運用されている。BOD 22-01では、連邦民間行政機関のネットワークをサイバー攻撃から保護するために、指定された期限までに特定された脆弱性を修正することを要求している。

  • 「既知の悪用された脆弱性カタログ」にCVE-2022-21882が追加された

    「既知の悪用された脆弱性カタログ」にCVE-2022-21882が追加された

今回新たにカタログに追加されたCVE-2022-21882は、WindowsのWin32k.sysドライバーにおいて発見された脆弱性である。この脆弱性を悪用されると、ローカルでWindows PCにログイン可能なユーザーによって不正に管理者権限が取得され、対象のシステムを制御される危険性がある。この脆弱性を発見したセキュリティ研究者のRyeLv氏は、2022年1月29日にその詳細な分析結果とエクスプロイトを公開している。

Microsoftでは、2022年1月の月例セキュリティアップデートの一部としてCVE-2022-21882に対する修正プログラムをリリースしている。CVE-2022-21882のCVSS v3ベーススコアは7.8で深刻度「High(高)」に分類されており、早急にアップデートを適用することが推奨されている。