TokyoBlackHatNews

csoonline.com 5分で読了

Microsoftの Windows Recall は依然として静かなデータ抽出を許可している

サイバーセキュリティ研究者は、Recallの再設計されたセキュリティモデルが、管理者権限やエクスプロイトなしに、同じユーザーのマルウェアがプレーンテキストのスクリーンショットと抽出されたテキストにアクセスするのを防ぐことができないと述べています。

Microsoftの Windows Recall 機能は、大規模なセキュリティオーバーホールにもかかわらず、完全なデータ抽出に対して脆弱なままです。ユーザーのコンテキストで実行されているマルウェアが、管理者権限、カーネルエクスプロイト、または暗号化の破損なしに、Recallがキャプチャしたすべてを静かに盗み出すことができるとサイバーセキュリティ研究者は述べています。

Zürichを拠点とする金融インフラ事業者SIX Groupの最高経営責任者であるAlexander Hagenah氏は、LinkedInの投稿でこの主張をしており、問題を実証するためにTotalRecall Reloadedという概念実証ツールも公開しました。

Hagenah氏は2024年にRecallのセキュリティ欠陥を最初に暴露し、Microsoftに機能をプレビューから引き下げ、再構築を強制しました。Microsoftは2025年4月にRecallを再開始し、新しいアーキテクチャは「データを盗もうとしている潜在的なマルウェアが『ユーザー認証に乗っかる』試みを制限する」と述べました。Hagenah氏はそうではないと述べています。

「Recallを通常使用するときに、TotalRecall Reloadedは静かにあなたの後ろのドアを開いたままにしておき、その後、Recallが今までキャプチャしたものを抽出します。これは正確にはMicrosoftのアーキテクチャが制限することになっているシナリオです」と彼は投稿に書いています

Hagenah氏は投稿で、3月6日にMicrosoftのセキュリティ対応センターに研究を開示し、完全なソースコードと再現手順を提出したと述べました。Microsoftは1ヶ月間ケースをレビューし、4月3日にそれを閉じ、その動作は「セキュリティ境界のバイパスまたはデータへの不正アクセスを表していない」と彼に伝えました。

「Microsoftはこれは仕様によるものだと言っています」とHagenah氏は書きました。「それは私を心配させます」。

Hagenah氏の研究はMicrosoftの暗号化に異議を唱えていません。彼が指摘するギャップは、復号化されたデータがエンクレーブを離れた後にどのように処理されるかです。

「プレーンテキストのスクリーンショットと抽出されたテキストは、表示用の保護されていないプロセスで終わります」と彼はCSOに述べました。「復号化されたコンテンツが同じユーザーのコードがアクセスできるプロセスに入る限り、誰かが方法を見つけるでしょう」。

修正に必要なもの

修正は技術的に実行可能です、とHagenah氏は述べました。

「短期的な修正はかなり簡単です。MicrosoftはRecallタイムラインをレンダリングするプロセスであるAIXHost.exeに、より強力なコード整合性とプロセス保護を追加できます。現在、それは何も持っていないため、注入パスを可能にしています。それは私が実証した特定の技術をブロックし、実質的にセキュリティレベルを上げます」と彼は述べました。

長期的な問題はより深刻です、と彼は述べました。「Microsoftは、復号化されたデータがエンクレーブを離れた後にどのように処理されるかを再考すべきです。暗号化とエンクレーブの設計は本当によく実行されており、それについて明確にしたいのです。問題は、プレーンテキストのスクリーンショットと抽出されたテキストが、表示用の保護されていないプロセスで終わることです。復号化されたコンテンツが同じユーザーのコードがアクセスできるプロセスに入る限り、誰かが方法を見つけるでしょう」と彼は述べました。

「耐久性のある修正は、保護されたプロセス内でレンダリングするか、生データが信頼境界を離れないコンポジティングモデルを採用することを意味します。これはより大きな努力ですが、この種の問題を適切に解決する唯一の方法です」と彼は述べました。

悪用リスク

この技術を武器化するためのハードルはMicrosoftのセキュリティメッセージが示唆するほど高くないとHagenah氏は述べました。

「彼らはユーザーのコンテキストで実行されているコードと、認可されたRecallセッションを再利用する方法が必要なだけです」と彼は述べました。「これは多くの人がMicrosoftのセキュリティメッセージから想定するであろうよりも、はるかに低いハードルです」。

RecallのCopilot+ PCsへの制限とオプトイン状態により、エクスポージャーのスケールは縮小されていますが、標的型の悪用は現実的な近期リスクです、と彼は述べました。「標的型の悪用、監視、または高価値ユーザーの収集については、これは絶対に現実的です」と彼は述べました。

Hagenah氏は、防御側、EDRベンダー、セキュリティチームがこの技術が脅威アクターによって悪用される前に検出を構築できるように、意図的にソースコードを公開したと述べました。「私の見解では、それは防御側に貴重なヘッドスタートを与えます」と彼は述べました。

独立したセキュリティ研究者のKevin Beaumont氏は、現在のRecall実装を別々にテストした後、同様の結論に達しました。「はい、ユーザープロセスとしてデータベースを読むことができます」とBeaumont氏は3月11日にMastodonに書きました。「データベースはまた、ユーザーのアクティビティを追跡するために公開されていないあらゆる種類のフィールドを含んでいます。AVまたはEDRアラートはトリガーされませんでした」と彼は書きました。

Microsoftはすぐにコメントの要求に応じませんでした。

翻訳元: https://www.csoonline.com/article/4159643/microsofts-windows-recall-still-allows-silent-data-extraction.html

ソース: csoonline.com
#Copilot+ PC #Microsoftセキュリティ #TotalRecall Reloaded #Windows Recall #セキュリティ研究 #セキュリティ脆弱性 #データ抽出 #プロセスインジェクション #マルウェア #暗号化

関連記事

Mythosの話題の陰で、Glasswinが確認したCVEは1つだけ

エンドレスなCISO報告ラインの議論 — そしてそれがサイバーセキュリティリーダーシップについて何を語っているのか

重大なnginx UIツール脆弱性がWebサーバを完全な侵害にさらす