Googleの研究者であるforshaw氏が、Windowsに発見していた特権昇格のバグを、脆弱性の概念実証(POC)プログラムとともに公表した。同氏によると、POCプログラムは最新の状態に更新されたWindows 8.1でのみテストしており、Windows 7を含む以前のバージョンのWindowsが脆弱性の影響を受けるかどうかは未確認だという。
この脆弱性は関数「AhcVerifyAdminContext」内に発見された。筆者が確認したところ、この関数の情報はMicrosoftのウェブサイト上では公開されていないため、AhcVerifyAdminContextはパブリックAPIではなく内部的な関数だと思われる。
forshaw氏は2件のPOCプログラムと、それらを使用してWindowsの電卓を管理者として実行する手順を公開している。同氏によると、POCプログラムでは脆弱性を実証するためにWindowsのユーザーアカウント制御(UAC)を使用しているが、今回の脆弱性はUAC自体に起因するものではないという。
筆者がPOCプログラムをテストしたところ、Windowsの電卓は実行されたが、その特権が昇格されているかどうかは確認できなかった。しかしPOCプログラムは両方とも、テストマシン上のNorton Securityによって悪質なプログラムとして検出および隔離された。
forshaw氏は、ゼロデイ攻撃の撲滅を目指すプロジェクト「Google Project Zero」の研究活動を通じて今回の脆弱性を発見し、2014年9月30日に、Google社内のセキュリティ研究に関するメーリングリスト「Google Security Research」に情報を投稿した。forshaw氏は投稿の中で、この脆弱性にGoogle Project Zeroの開示方針が適用され、90日が経過しても正式なパッチがリリースされない場合は、脆弱性に関する情報が自動的に公表されると述べていた。なお、同氏がMicrosoftに情報を通知したかどうかは、投稿の中では言及されていない。
12月31日、本件に関する声明がMicrosoftの担当者から米ZDNetに寄せられた。その中で同社は、特権昇格の脆弱性を修正するセキュリティ更新を準備中であることと、攻撃者が脆弱性を悪用するには標的となるマシンの有効な認証情報を入手したうえで、ローカルでログインする必要があることを強調している。また、ユーザーに対してはウイルス対策ソフトウェアを最新の状態に保ち、ファイアウォールを有効にするよう呼びかけている。
同じく12月31日にGoogleからもコメントが寄せられた。それによると、同社は脆弱性に関する情報が社内メーリングリストに投稿された9月30日の時点で、情報をMicrosoftに通知していたという。そして、今回の脆弱性の公表はGoogle Project Zeroのポリシーに従ったもので、発見した脆弱性を90日後に公表するという方針は、Google Project Zeroを2014年初頭に開始した時点から告知していたと述べている。また同社はコメントの中で、脆弱性の撲滅を目指すプロジェクトの大半が同様の期限を設けているとして、90日という開示期限の正当性を主張している。たとえば、HP TippingPointが実施している「Zero Day Initiative」は、この種のプロジェクトの中で最大規模の取り組みだが、やはり標準で4カ月という開示期限を設けている。なお、Googleはポリシーの影響を継続的に監視しており、ポリシーの将来的な調整も視野に入れているとのことである。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
