フランスのセキュリティ研究者が、「Windows」向けセキュリティツールのアップデート作業中に偶然、ゼロデイ攻撃の脆弱性を発見した。この脆弱性はWindows 7とWindows Server 2008 R2に影響を与える。
提供:Microsoft
今回発見された脆弱性は、全てのWindowsマシンに含まれるRPC Endpoint MapperとDNSCacheサービスの2つのレジストリキー設定が誤っている場合に生じる。
- HKLM\SYSTEM\CurrentControlSet\Services\RpcEptMapper
- HKLM\SYSTEM\CurrentControlSet\Services\Dnscache
この脆弱性の発見者であるフランスのセキュリティ研究者Clément Labro氏は、攻撃者が脆弱なシステムに入り込んだ場合、これらのレジストリキーを書き換え、通常はWindows Performance Monitoringが使用するサブキーがアクティベートされる可能性があると指摘する。
Performanceサブキーは通常、アプリのパフォーマンス監視に用いられるため、カスタムツールを使ってパフォーマンスを追跡できるように、開発者が自分のDLLファイルをロードできるようになっている。
通常、Windowsの最近のバージョンでは、こうしたDLLは制限され、限定された権限でしかロードできないが、Labro氏によれば、Windows 7とWindows Server 2008ではシステム管理者レベルの権限を持った状態でカスタムDLLをロードできる。
問題の発見と開示は偶然
セキュリティ研究者が今回のような深刻なセキュリティ問題を発見した場合、通常はMicrosoftに非公開に報告する。しかし、Labro氏にその時間はなかった。
Labro氏によれば、同氏がこの脆弱性を発見したのは「PrivescCheck」のアップデートをリリースした後だった。PrivescCheckは、マルウェアによって権限昇格に悪用される恐れのある、Windowsのセキュリティ誤設定をチェックするツールだ。
同氏は先月、権限昇格の悪用をチェックする新機能をサポートしたアップデートをリリースしていた。
しかし同氏が、この新機能がパッチの適用されていない、新しい権限昇格のリスクを捉えていたことに気づいたのは、リリースから何日も過ぎ、Windows 7などの古いシステムに繰り返し表示されるアラートの調査に乗り出したときだった。
このときには既に問題をMicrosoftに非公開で報告する時間は残されておらず、同氏は自分の個人サイトで新たな悪用方法に対する注意を喚起することを選んだ。
米ZDNetはMicrosoftにコメントを求めたが、本稿公開時点で公式声明は得られなかった。
Windows 7とWindows Server 2008 R2はどちらも、公式のサポート期間が終了しており、Microsoftは無料のセキュリティアップデートの提供を停止している。一部のセキュリティアップデートは、同社の有償サポートプログラムであるESU(Extended Support Updates)を通じてWindows 7ユーザーに提供されているが、本件に対応したパッチはまだリリースされていない。
MicrosoftがLabro氏の発見した新たなゼロデイ攻撃の脆弱性に対するパッチを提供するかは不明だが、ACROS Securityは既にマイクロパッチをリリースしている。このマイクロパッチは同社の0patchセキュリティソフトウェアを通じてインストールされ、ACROSの非公式のパッチを通じて、攻撃者がバグを悪用することを防ぐ。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。