出典: Michael Flippo via Alamy Stock Photo
「BlueHammer」と呼ばれるWindows ゼロデイ脆弱性の明らかなエクスプロイトコードがオンラインで流出したことは、セキュリティ研究者が脆弱性開示についてマイクロソフトと協力する際に直面するより大きな問題の兆候である可能性があります。
「Chaotic Eclipse」というエイリアスを使用した研究者は、4月2日にエクスプロイトのGitHubリンクを含むブログ投稿を匿名で公開し、脆弱性開示に対するマイクロソフトの対応が不十分であることに対する不満を表明しました。
「私はマイクロソフトを脅していなかった、そして私は再度それをしている」と、研究者はブログ投稿に書きました。同じエイリアスを持つXアカウント上の投稿も、ブログ投稿へのリンク付きでエクスプロイトのリリースを告知し、執筆時点で「脆弱性はまだパッチが適用されていない」と主張しました。
研究者はまた、脆弱性の開示についてマイクロソフトのセキュリティ対応センター(MSRC)との不満足な相互作用があったことを示唆しましたが、正確に何が起こったかは明記しませんでした。「私は本当に彼らの決定の背後にある理論的根拠が何であったのか疑問に思っています。あなたがこれが起こることを知っていたのに、あなたはそれでもあなたがしたことをした」と、彼はGitHubの投稿のREADMEの一部として書きました。
バグ開示における体系的問題?
このマイクロソフトに対する明らかな忍耐力の欠如は、Trend Microのゼロデイイニシアチブ(ZDI)の脅威認識責任者である Dustin Childs にとって驚くことではありません。彼は、彼の会社も過去に「MSRCとの同様の不満を経験していた」と述べています。
「マイクロソフトのバグにもう取り組まないと言っている複数の研究者から聞いたことがあります。なぜなら開示プロセスがあまりにも不満足だからです」と、Childs はDark Reading に語っています。
研究者とサイバーセキュリティベンダーは、ソフトウェア大手のマイクロソフトの脆弱性開示プログラムと特定のクラウド脆弱性を開示する際の透明性の欠如について何年も批判してきました。実際、マイクロソフトは2023年に脆弱性開示と透明性を会社のセキュアフューチャーイニシアチブ(SFI)の中核的柱とし、その後これらの分野での改善を宣伝しました。
メールでの声明の中で、マイクロソフトは報告されたセキュリティ問題を調査し、できるだけ早く影響を受けたデバイスを更新して顧客を保護するための顧客への約束があると述べました。同社はまた、顧客とセキュリティ研究コミュニティの両方を保護するために、調整された脆弱性開示に対するサポートを強調しました。
BlueHammer脆弱性の詳細
このゼロデイ脆弱性は、Retail & Hospitality-Information Sharing and Analysis Center (RH-ISAC)からの勧告によると、Windows Defender のシグネチャ更新システムにおける time-of-check to time-of-use(TOCTOU)競合状態とパス混乱を組み合わせています。正常に悪用された場合、ローカルユーザーは Security Account Manager(SAM)データベースにアクセスし、パスワードハッシュを取得し、最終的にpass-the-hash技術を使用して管理者権限を取得できます。これはアタッカーに完全なシステム制御を与えます。
Childs は Dark Reading に、Chaotic Eclipse によって投稿された概念実証(PoC)エクスプロイトは正当ですが、「実際にはどの程度悪用可能かは確かではない」と述べています。
Tharros の主任脆弱性アナリストである Will Dormann は、ソーシャルメディアプラットフォーム Mastodon への投稿で、エクスプロイトがデスクトップシステムで動作していると述べましたが、引用された他の研究者は、現在 Windows Server では動作していないと述べています。
Childs は、「サーバープラットフォーム上には軽減策およびクライアントプラットフォーム上に存在しない違いがある」ため、これが理由である可能性があると述べています。「また、エクスプロイトが100%信頼できるとは思わないため、なぜ一部の人々が異なる結果を経験しているのか」と彼は付け加えます。「エクスプロイトの信頼性は困難です。」
実際に、PoC を投稿した研究者は、GitHub 上の彼らのメモの中で、エクスプロイトが動作を妨げる可能性のある欠陥がある可能性があることを認め、それらは後で修正されると述べています。Chaotic Eclipse は水曜日のX投稿でマイクロソフトがコードを更新したと述べていますが、「バグを修正しませんでしたが、エクスプロイトをより検出しにくくします。」
ゼロデイ脆弱性を真剣に受け止める
脆弱性についての詳細が不足しているため、マイクロソフトがそれを認め、パッチを適用するまで、防御側が影響を受けたシステムを軽減することが難しくなります。実際に、攻撃者は常に野生で悪用できる脆弱性をスキャンしているため、パッチ未適用の脆弱性に対しては軽減策が最優先事項である必要があります。公開エクスプロイトコードのリリースは、脆弱なシステムをさらに侵害しやすくします。
特にマイクロソフトのゼロデイ脆弱性は攻撃者の人気のある標的であり、しばしば特に企業システムに対する重大なサイバー攻撃の波の基礎となっています。管理セキュリティサービスプロバイダーの Cyderes は水曜日のブログ投稿で、熟練した脅威アクターはおそらく PoC エクスプロイトの問題を解決することができ、ランサムウェアギャングおよび高度な永続的脅威グループ(APT)は通常「リリースから数日以内に」そのようなエクスプロイトを配置すると警告しました。
脆弱性がパッチされるのを待つ間、IT 環境で Windows を使用している組織は、健全なセキュリティ衛生慣行を継続し、攻撃者がシステム認証情報を取得できるようにするソーシャルエンジニアリングに注意するよう従業員に警告し、侵害を防ぐためにシステム上の異常な活動を監視する必要があります。セキュリティ専門家が述べています。
