Googleのセキュリティチーム「Project Zero」は米国時間4月19日、「Windows 10」のセキュリティ機能の迂回(うかい)を許す手法の概念実証コードを公開した。
Project Zeroは発見した脆弱性に関する情報を、開発元に通知してから90日後に一般公開するという方針を採っており、開発元に対して同期間内での脆弱性の公表や、パッチの公開を求めている。Microsoftは今回の件に関して一般公開の延期を求めたものの、2月に一般公開された特権昇格の問題に引き続き、その要求は拒絶された。
今回明らかにされた手法は、「Windows 10 S」マシン、あるいはユーザーモードのコード整合性(UMCI)を有効にしているあらゆるWindows 10搭載マシン(例えば、「Device Guard」として知られているMicrosoftの仮想コンテナを設定した企業のWindows搭載PC)に影響を及ぼす、深刻度が中程度のものだ。
Project Zeroの研究者であるJames Forshaw氏は、攻撃者による永続的なコードの実行を可能にするこの迂回手法の詳細な説明と概念実証コードを公開した。
このバグ自体は.NETと、Windows Lockdown Policy(WLDP)内でのその振る舞いに起因している。Forshaw氏は、パッチがリリースされていないバグの情報を今回公開することがさほど問題にならない理由として、.NETフレームワーク内に存在する、既知の、かつ対処されていない2件のDevice Guardバイパス手法の存在を挙げた。
同氏は「このため、これら既知のバイパスすべてが修正されれば、今回の懸念はさほど深刻なものとならない」と記している。
このバグは、遠隔地から悪用することができず、攻撃者は標的とするマシンにマルウェアを感染させておく必要があるという。しかしForshaw氏は、例えば「Microsoft Edge」などに含まれている、遠隔地からのコード実行を可能にする他のバグを併用することで、攻撃者はその障害を乗り越えられるという可能性についても記している。
Googleはこの問題を1月19日にMicrosoftに報告していた。Microsoftは約3週間後に同問題を確認したものの、「コードの予期せぬ関連」により、4月の第2火曜日に予定されている月例パッチまでに修正できない可能性があるとしていた。
両社は4月の初めに、この問題の公開日程について再び交渉を重ねていた。Microsoftは90日後までという期限に対して2週間の猶予期間の適用を求めた。その後Microsoftは、5月の定例パッチまで同バグの公開を待つよう求めたが、Googleはその要求を拒絶した。
Microsoftは11日、近々リリース予定のWindows 10の「Redstone 4」で対処するため、同アップデートの公開まで期限を延長してほしいと要求した。しかしGoogleは、MicrosoftがRedstone 4のリリース日を明確にしていないという理由などから、その要求についても拒否した。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
