Googleの「Project Zero」の研究者であるTavis Ormandy氏は、Windowsの暗号ライブラリに存在するバグについて詳細を発表した。このバグは「Windows 8」から存在し、「Windowsマシン群をあっという間にダウンさせる」のに利用できるという。
ウイルス対策ソフトのバグをよく発見しているOrmandy氏は、バグを作動させ、「IPsec」「Internet Information Services(IIS)」「Microsoft Exchange Server」などのあるWindowsサーバーをサービス拒否(DoS)状態にする「X.509」証明書を作成したと述べている。サーバーを再び利用できる状態に戻すには、再起動が必要となる可能性があるという。
Ormandy氏は、投稿の中で次のように説明している。「『SymCrypt』多倍長演算ルーチンには、『bcryptprimitives!SymCryptFdefModInvGeneric』を用いて特定のビットパターンのモジュラー逆数を計算している時に無限ループを引き起こす可能性のあるバグが存在する」
Ormandy氏によると、同社の研究者が発見したバグの修正や公表に対してGoogleが設定している3カ月の期限に合わせて、Microsoftは「90日以内にバグを修正すると約束した」という。
だが、GoogleのシニアセキュリティエンジニアリングマネージャーであるTim Willis氏によれば、Microsoft Security Response Center(MSRC)は米国時間6月11日、「テスト中に発見された問題により」7月の月例更新までパッチを公開できないと通知してきたという。
このバグもまた、Windowsがウイルス対策ソフトウェアと相互にやり取りする手段に原因があるようだ。
「バグを発動させるX.509証明書を作成できた」とOrmandy氏は説明した。
I noticed a bug in SymCrypt, the core library that handles all crypto on Windows. It's a DoS, but this means basically anything that does crypto in Windows can be deadlocked (s/mime, authenticode, ipsec, iis, everything). Microsoft committed to fixing it in 90 days, then didn't.
— Tavis Ormandy (@taviso) 2019年6月11日
Ormandy氏はこのバグについて、深刻度が低い問題だと指摘している。だが、攻撃者が簡単にWindowsマシン群全体をダウンさせる可能性があるため、管理者は用心すべきだ。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
