Patch Tuesday WinXP の時代から Windows に埋め込まれているソフトウェアは、古き良きメモ帳と巧妙なコードを利用して悪用され、PC を完全に制御される可能性があります。
火曜日、Google Project Zeroの優秀なバグハンター、タヴィス・オーマンディ氏は、キーボードレイアウトとテキスト入力を管理するOSのテキストサービスフレームワークのコンポーネントが、マルウェアや不正ログインユーザーによってシステムレベルの権限を不正取得される可能性があることを詳細に明らかにしました。このようなレベルの権限は、悪意のあるソフトウェアや悪意のある人物にコンピュータの完全な制御と監視を与えることになります。
CVE-2019-1162 で指定されたこの脆弱性は、Microsoft が今月公開したセキュリティ修正プログラム「Patch Tuesday」で修正されています。関連するアップデートをできるだけ早くインストールしてください。
長期にわたる調査の結果、オーマンディ氏は、問題のコンポーネントである CTextFramework (別名 CTF) が Windows XP 時代にまで遡り、画面上のテキストを処理するためにこのコンポーネントとやり取りするアプリケーションによって悪用される可能性のあるセキュリティ上の欠陥に満ちていることを発見しました。
「この複雑で目立たないレガシープロトコルがメモリ破損の脆弱性に満ちているのは、驚くことではありません」とオーマンディ氏は述べた。「コンポーネントオブジェクトモデルのオブジェクトの多くは、アドバンストローカルプロシージャコール(ALC)ポートを介してポインタをマーシャリングすることを前提としており、境界チェックや整数オーバーフローチェックは最小限しか行われていません。」
「一部のコマンドでは、フォアグラウンド ウィンドウを所有していることや、その他の同様の制限が必要ですが、スレッド ID については嘘をつくことができるため、そのウィンドウの所有者であると主張するだけで、証明は必要ありません。」
Windows 10とUberやLyftの共通点は何でしょうか? 1人の下手なドライバーが1日を台無しにする可能性があります。そして40人になると1ヶ月が台無しになる可能性があります。
続きを読む
これを念頭に置いて、Ormandy は、メモ帳を介して CTF を悪用し、システム レベルの権限でコマンド ライン シェルを起動する概念実証ツールを開発することができました。
「明らかな攻撃は、権限のないユーザーが管理者のコンソールセッションにコマンドを挿入したり、ユーザーがログインするときにパスワードを読み取ったりすることです。サンドボックス化されたAppContainerプロセスでも同じ攻撃を実行できます」とオーマンディ氏は説明した。
もう一つの興味深い攻撃は、NT AUTHORITY\SYSTEMとして実行されるUAC同意ダイアログの制御を奪うことです。権限のない標準ユーザーは、ShellExecute()で「runas」動詞を使用してconsent.exeを起動し、その後Systemとして実行することができます。
全体的な視点から見ると、発見された脆弱性は興味深いものの、それほど深刻なものではありません。Windowsの権限昇格の脆弱性はありふれており、Microsoftは年間数十件ものパッチをリリースしています。CTFを悪用するには、悪質な人物がユーザーのマシン上でコードを実行している必要があり、これは好ましい状況とは言えません。
脅威のモデリングはさておき、10 年以上もアプリケーションに公開されてきた Windows の基本コンポーネントに脆弱性が見つかったという事実は、Ormandy のバグ探しのスキルの証であると同時に、30 年を超える歴史の中で Windows がいかに複雑で膨大なものになったか、そしてその複雑さがセキュリティの観点から Microsoft のエンジニアにどれほど大きな課題を提示しているかを示す例でもある。
「これらは、バグが何年も残る隠れた攻撃対象領域です」とオーマンディ氏は指摘する。「20年近くもの間、セッションを越えてNTのセキュリティ境界を突破することが可能だったにもかかわらず、誰も気づかなかったのです。」®
