「Windows」コマンドラインユーティリティの「Regsvr32.exe」を悪用すると、Windowsでアプリの実行を制限する「AppLocker」機能を迂回して、リモートからコードを実行することが可能になるおそれがある。
この脆弱性を悪用すれば、「Windows 7」以降のWindowsの企業向けエディションに搭載されているAppLockerのアプリホワイトリストを迂回することができる。具体的には、Regsvr32.exeを使って、制御したいファイルやアドレスを指定する。
それにより、ファイルやスクリプトを使って、Windowsシステム上でアプリを実行することが可能になる。
セキュリティ研究者のCasey Smith氏(「subTee」としても知られる)によると、このセキュリティ脆弱性は管理者権限やアクセス特権がなくても悪用可能だという。
COM+スクリプト(PCの内部システムで使用するCOMオブジェクトを登録するXML文書)を作成してAppLockerを迂回することが可能で、スクリプトブロックとスクリプトの登録解除を行うだけで、管理者権限を不要にすることができる、とSmith氏はブログ記事で述べた。
さらに、このエクスプロイトには、何らかの痕跡を残す不正操作が一切不要だ。自分の活動を検知されたくない攻撃者にとって、これは有利な要素である。
.SCTファイルとしても知られるCOM+スクリプトは、ローカル以外の場所からもアクセス可能だ。Smith氏はリモートからスクリプトを呼び出すことに成功している。Regsvr32.exeはプロキシとネットワークも認識するので、ひとたびPCに侵入されてしまうと、システム内に甚大な被害が及ぶおそれもある。
「必要なのは、制御する場所に.SCTファイルをホストすることだけだ。Regsvr32.exeがスクリプトのURLを受け付けることは、詳しく記載されていない。この迂回を実行するためには、<registration>要素内にVBかJSでコードブロックを記述する必要がある」(Smith氏)
概念実証(PoC)コードはGitHubで公開されている。
現在、このセキュリティ脆弱性のパッチは公開されていない。しかし、パッチが公開されるまでの間、WindowsファイアウォールでRegsvr32.exeをブロックして、この問題を緩和することが可能だ。
米ZDNetはMicrosoftにコメントを求めたが、本稿掲載時点で回答は得られていない。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
