Microsoftとの確執が新たなWindowsゼロデイ脆弱性で激化するも、経験豊富な脆弱性専門家は「説明どおりには動作しない」と指摘
ここ数ヶ月にわたってMicrosoft Windowsのゼロデイ脆弱性を公開し続けている不満を持つ研究者が、ロック状態のデバイスのBitLocker暗号化をバイパスするとされる新たなエクスプロイトを木曜日に公開しました。信頼される著名なセキュリティ専門家は、このエクスプロイトが当初の説明どおりには機能しないと報告していますが、研究者自身は改善策を模索しています。
GreatXMLと名付けられたこのエクスプロイトは、Windowsの特殊な起動モードであるWindowsリカバリ環境(WinRE)から動作する仕組みとされています。WinREはスタートアップの問題をトラブルシューティングするために使用されるモードです。また、Windows Defenderのオフラインスキャン機能とも関連しているようです。
「Defenderのオフラインスキャンがいずれかの時点で被害者のマシンで実行されていた場合、ログインは不要で、マシンは自動的に脆弱な状態になります」と、Nightmare EclipseまたはChaotic Eclipseというオンライン名で活動するこの研究者はエクスプロイトのノートに記しています。「Defenderのオフラインスキャンが一度も実行されていない場合は、自分でログインしてスキャンを開始するか、オフラインスキャン状態でWinREを起動する方法を見つける必要があります(ログインなしでこれを実現することは十分に可能だと思います)。」
ここでログインが必要かどうかが重要になります。BitLockerで暗号化されたシステムドライブは、ユーザーがログインすることでロックが解除・復号されるからです。しかし、BitLockerバイパスの本来の目的は、ログイン資格情報を持たない状態で暗号化されていないドライブにアクセスすることです。例えば、盗まれたノートパソコンへのアクセスを試みるといったケースが想定されます。
過去にWindowsのオフラインDefenderスキャンが実行されたマシンでは、Nightmare Eclipseが提供する2つのファイル(unattend.xmlとRecovery/WindowsRE/ReAgent.xml)をWinREパーティションにコピーし、その後システムをWinREモードで再起動することで攻撃が成立するとされています。WinREパーティションは暗号化されていないため、OS外からのコピーが可能です。
「すべての手順が正しく実行されていれば、BitLockerボリュームへの無制限アクセスが可能なシェルが起動するはずです」とNightmare Eclipseは述べています。
しかし、Nightmare Eclipseが以前公開したエクスプロイトを調査した経験豊富な脆弱性アナリスト、Will Dormannは、Windows 11の3つのバージョンで試みた結果、提供された手順を使ってもこのバイパスを再現できなかったと報告しています。
「説明書の欠陥は、生成されるCMD.EXEがMicrosoft Defenderオフラインスキャンが次回トリガーされたときに起動するという点だと思います」とDormannは自身のMastodonアカウントに投稿しました。「Microsoft Defenderオフラインスキャンをトリガーするには、Windowsにログイン済みである必要があり、管理者権限も必要です。そのレベルのアクセスがすでにあるなら、BitLockerをオフにするだけです。」
Dormannの見解は、Microsoftのドキュメントとも一致しています。同ドキュメントには、Windows Defenderのオフラインスキャンをトリガーするには管理者権限が必要であり、スキャンを開始するためにWinREモードへの再起動がトリガーされると記載されています。オフラインスキャンの目的は、通常のWindows Defenderプロセスに干渉しうるルートキットなどのカーネルレベルの脅威を、OS外から除去することです。
Nightmare EclipseはDormannの報告に返答しませんでしたが、X(旧Twitter)に投稿し、ReAgent.xmlを編集するだけでDefenderオフラインスキャンをトリガーする方法を知っている人がいないか尋ねています。これは研究者がエクスプロイトを実行するための別の手段を模索していることを示唆しており、過去にDefenderオフラインスキャンが一度も実行されたことのないシナリオにも関連している可能性があります。
GreatXMLに関するEclipse自身のブログ投稿はblogspot.comのサイトから消えていましたが、これはGoogleの仕業だと主張しています(GoogleはBloggerサービスを所有しています)。以前のゼロデイエクスプロイトを投稿していたGitHubリポジトリも最近削除されました。GitHubを所有するMicrosoftによるものとされており、セキュリティコミュニティの多くの人々から批判を集めています。GitHubはゼロデイのPoC(概念実証)エクスプロイトを含むセキュリティ研究を保存する場として長らく機能してきたからです。
この研究者はMicrosoftから不当な扱いを受けたと主張しており、同社に対して個人的な恨みを抱えています。これまでにWindowsコンポーネントのゼロデイエクスプロイトを8件公開しており、一部のリリースはMicrosoftの月例パッチ(Patch Tuesday)の直後を狙い、帯域外パッチの公開を迫るか、翌月まで待たせる戦術を取っています。
今週初めも同様のケースがありました。この研究者はRoguePlanetと名付けたWindows Defenderの権限昇格ゼロデイエクスプロイトを公開し、その2日後にGreatXMLによるBitLockerバイパスとされるエクスプロイトを続けて公開しました。
DormannがGreatXMLを機能させることができなかったとしても、Eclipseがこれまで実際に動作するゼロデイを公開してきた実績を考えると、企業はこのエクスプロイトを引き続き真剣に受け止めるべきです。エクスプロイトにバグが存在したとしても、この研究者あるいは別の誰かがそれを修正したり、別の方法でトリガーする手段を見つけたりする可能性があります。
