Google の Project Zero バグハンティング チームは、コンピューターを制御するために悪意のある人物が積極的に悪用している Windows カーネルの欠陥を公開しました。
ウェブ界の巨人であるGoogleのバグ報告は10月22日にMicrosoftに非公開で開示され、わずか7日後に、正体不明の人物がこのプログラミングミスを悪用しているのを検知したことを受けて公表されました。権限昇格の問題は、Google Project ZeroのMateusz Jurczyk氏とSergey Glazunov氏によって発見されました。
「Windows カーネル暗号化ドライバー ( cng.sys) は、\Device\CNG デバイスをユーザーモードプログラムに公開し、複雑な入力構造を持つ様々な IOCTL をサポートしています」とバグレポートは説明しています。「これは、ローカルからアクセス可能な攻撃対象領域となり、権限昇格(サンドボックスからの脱出など)に悪用される可能性があります。」
CVE-2020-17087として指定されているこの脆弱性は、16ビット整数の不適切な切り捨てによってバッファオーバーフローが発生する可能性があるものです。この脆弱性を悪用されると、例えばChromeのサンドボックスを突破し、被害者のPCを制御できるようになる可能性があります。
Googleの研究者らは、Windows 10 1903(64ビット版)でテストされたPoCエクスプロイトコードを公開しました。研究者らによると、このcng.sys脆弱性は少なくともWindows 7以降から存在していたようです。Project Zeroのレポートによると、Googleの脅威分析グループのディレクターであるシェーン・ハントリー氏は、このエクスプロイトは標的型であり、「米国大統領選挙に関連した攻撃とは無関係」であることを確認しています。
まずはパッチ火曜日。そして、なんと月曜日。MicrosoftはVisual StudioとWindows 10のセキュリティバグに対するボーナス修正をリリースしました。
続きを読む
パッチは、Microsoft の次の「Patch Tuesday」である 2020 年 11 月 10 日までにリリースされる予定です。
マイクロソフトの広報担当者は電子メールによる声明で、同社は修正に取り組んでおり、既知の標的型攻撃は限定的なものだと説明した。
「マイクロソフトは、報告されたセキュリティ問題を調査し、影響を受けるデバイスを更新して顧客を保護するという約束を顧客に負っている」と広報担当者は述べた。
「私たちは、今回のシナリオのような短期的な期限も含め、すべての研究者の開示期限を守るよう努めていますが、セキュリティアップデートの開発は適時性と品質のバランスが重要であり、私たちの最終的な目標は、顧客への影響を最小限に抑えながら、最大限の顧客保護を実現することです。」
しかし、Windowsの巨人であるMicrosoftは、攻撃者はまずホストマシンに侵入し、次にローカルシステムの別の脆弱性を悪用する必要があるため、この脆弱性を悪用するのは困難だと示唆した。Microsoftによると、この脆弱性に対する唯一の既知のリモートベースの攻撃チェーンは、今月修正されたChromiumベースのブラウザの脆弱性(CVE-2020-15999)に対処済みである。®
