Googleのセキュリティリサーチャーらは米国時間10月30日、現時点で活発に悪用されているとみられる「Windows」のゼロデイ脆弱性を公表した。
Googleのセキュリティ研究チーム「Project Zero」のチームリードBen Hawkes氏によると、このゼロデイはMicrosoftの次回の月例パッチが提供される11月10日で修正される見通しだ。
この脆弱性(CVE-2020-17087)は、20日にHawkes氏のチームが公表した「Google Chrome」のゼロデイ脆弱性(CVE-2020-15999)とともに2段階攻撃の一環として用いられているという。Hawkes氏がTwitterで明らかにした。
攻撃者はChromeのゼロデイ脆弱性を悪用してChrome内で悪意のあるコードを実行した後、この攻撃の第2段階としてWindowsのゼロデイ脆弱性を悪用することで、セキュリティ専門家が言うところの「サンドボックス脱出」、すなわちChromeのセキュアなコンテナーを脱出し、Windows上でコードを実行することが可能になる。
同チームは22日にMicrosoftに連絡し、この脆弱性に対応するための7日間の非開示期間を設けたという。Microsoftは期限までにパッチを提供しておらず、チームは30日に詳細を公開した。
Currently we expect a patch for this issue to be available on November 10. We have confirmed with the Director of Google's Threat Analysis Group, Shane Huntley (@ShaneHuntley), that this is targeted exploitation and this is not related to any US election related targeting.
— Ben Hawkes (@benhawkes) October 30, 2020
同チームのレポートによると、このゼロデイ脆弱性はWindowsのカーネル内に存在しており、攻撃者のコードに追加の権限を付与するために悪用できるという。
またこの脆弱性は、「Windows 7」から「Windows 10」の直近のリリースに至るまでのすべてのWindowsバージョンに存在しているという。
この攻撃を再現するための概念実証(PoC)コードも含まれている。
Hawkes氏は、この2つのゼロデイを誰が利用しているかということについて、詳細を明らかにしていない。ゼロデイ脆弱性の多くは国家が支援しているハッキンググループや、大規模なサイバー犯罪グループによって発見されるのが通例となっている。
Googleのレポートによると、Googleの「Threat Analysis Group」(TAG:脅威分析グループ)も攻撃を確認している。
Google TAGのディレクターShane Huntley氏は、この攻撃は米大統領選挙とは関係ないとしている。
Chromeのゼロデイ脆弱性は、Chromeバージョン86.0.4240.111で修正されている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
