公開日:2023/07/31 最終更新日:2023/07/31

JVNVU#95852279
D-Link製Wi-Fi USBアダプターDWA-171向けソフトウェアドライバーにおける権限昇格の脆弱性

概要

D-Linkが提供するWi-Fi USBアダプターであるDWA-171向けソフトウェアドライバーには、権限昇格の脆弱性が存在します。

影響を受けるシステム

以下の条件を満たすD-Link DWA-171アダプターのすべてのCハードウェアリビジョンが本脆弱性の影響を受けます。

  • ファームウェアv3.04b02 Hot-Fix Beta 2およびそれ以前

詳細情報

D-Linkは、Microsoft Windowsオペレーティングシステム用のソフトウェアドライバーを提供していますが、2023年4月19日時点での最新のソフトウェアドライバーが、引用符で囲まれていないサービスパスの脆弱性の影響を受けることが判明しています。これに伴い、このソフトウェアドライバーには、権限昇格の脆弱性が存在します。

この問題は、一般的なデフォルトのWindowsユーザー権限で悪用可能です。

想定される影響

システムアカウントとしてコードを実行され、機微な情報へアクセスされたり、システムを変更されたりする可能性があります。

対策方法

アップデートする
開発者は、ファームウェアアップデートを提供しています。

詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
D-Link DWA-171 : H/W Rev. Cx :: F/W MS Windows Driver v3.04b02 Hot-Fix Beta 2 and Below (older) :: Unquoted Service Path Privilege Escalation

参考情報

  1. CERT/CC Vulnerability Note VU#813349
    Software driver for D-Link Wi-Fi USB Adapter vulnerable to service path privilege escalation

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia