Docker Desktop for Windows のアップグレード中に、不安全なディレクトリ削除により権限昇格が発生

この脆弱性を悪用されると、ローカルの低権限攻撃者は、Docker Desktopの更新プロセスを利用して、C:\ProgramData\Docker\configディレクトリに悪意のあるディレクトリ構造を作成できます。Docker Desktopの更新プロセスは高い権限で実行されるため、攻撃者はこの権限を利用して、任意のシステムファイルを削除または操作し、最終的にSYSTEM権限を昇格させることが可能です。これにより、攻撃者はシステム全体を制御できるようになり、機密情報の窃取、マルウェアのインストール、システムの破壊といった深刻な被害をもたらす可能性があります。この攻撃手法は、ファイルシステムの脆弱性を悪用するものであり、他のアプリケーションやサービスにも影響を及ぼす可能性があります。

Users running Docker Desktop for Windows versions 0 through 4.41.0 are at risk. This includes developers, system administrators, and anyone using Docker containers on Windows systems. Shared hosting environments utilizing Docker Desktop are particularly vulnerable due to the potential for cross-tenant privilege escalation.

• windows / supply-chain:

Get-ScheduledTask | Where-Object {$_.TaskName -like '*Docker*'} | Format-List TaskName, State

• windows / supply-chain:

Get-Process -Name docker | Select-Object ProcessId, CommandLine

• windows / supply-chain: Check Autoruns for unusual entries related to Docker Desktop. • windows / supply-chain: Monitor Windows Defender for alerts related to file deletion or modification within C:\ProgramData\Docker\config.

1. 2025-04-28Disclosure

   disclosure

1. 予約済み2025-04-03
2. 公開日2025-04-28
3. EPSS 更新日2026-03-23

この脆弱性への対応策として、まずDocker Desktopをバージョン4.41.0にアップデートすることが最も重要です。アップデートがシステムに影響を与える場合は、一時的にDocker Desktopの更新を停止し、代替手段として、C:\ProgramData\Docker\configディレクトリへのアクセスを制限するWAFやプロキシルールを実装することを検討してください。また、Docker Desktopのログを監視し、不審なファイル操作やディレクトリ作成の兆候を検出することも有効です。アップデート後、Docker Desktopのバージョンを確認し、脆弱性が修正されていることを確認してください。