Last Updated on 2024-06-26 05:25 by 門倉 朋宏
WindowsのDOS-to-NTパス変換プロセスに関連する既知の問題が、特権のない攻撃者にルートキットのようなポストエクスプロイト能力を提供する可能性があることが明らかになった。セキュリティ研究者のOr Yairは、この問題に関連する4つの脆弱性を発見し、「MagicDot」と名付けた。MagicDotの問題は、WindowsがDOSパスをNTパスに変換する際に不正な文字を自動的に削除することによって悪用される可能性がある。このパスの操作により、攻撃者は管理者権限を持たずにルートキットのような能力を得ることができ、ファイルやプロセスを隠したり、正当なファイルパスをなりすましたりすることが可能になる。
Yairの研究中に発見された4つの脆弱性のうち、3つはMicrosoftによって修正されたが、1つはまだ修正されていない。修正された脆弱性には、リモートコード実行(RCE)脆弱性と特権昇格(EoP)脆弱性が含まれる。修正されていない脆弱性は、ファイルの削除を可能にするものであり、MicrosoftはまだCVEや修正を発行していない。
MagicDotパスの問題はMicrosoftだけでなく、他のソフトウェアベンダーにも影響を与える可能性がある。この問題は、バージョンごとに既知の問題が続く多くのソフトウェアベンダーにとって重要な問題である。ソフトウェア開発者は、DOSパスではなくNTパスを使用することで、この種の脆弱性に対してコードをより安全にすることができる。セキュリティチームは、ファイルパス内の不正な文字を検出する検知方法を作成するべきである。MagicDotパスの問題は、まだ存在し、既知の問題よりもはるかに危険な問題や脆弱性を引き起こす可能性がある。
【ニュース解説】
WindowsのDOSからNTへのパス変換プロセスに関連する問題が、攻撃者による特権のないルートキット活動を可能にすることが明らかになりました。この問題は、セキュリティ研究者のOr Yairによって「MagicDot」と名付けられ、4つの脆弱性が発見されました。この問題は、WindowsがDOSパスをNTパスに変換する際に、不正な文字(特にピリオドやスペース)を自動的に削除することに起因します。この自動削除機能を悪用することで、攻撃者はファイルやディレクトリ、プロセスを隠蔽したり、正当なファイルパスになりすましたりすることが可能になります。
この問題の影響は、管理者権限を持たない攻撃者でも、ルートキットのような機能を実現できることにあります。例えば、マルウェアを含むファイルやディレクトリを通常のAPIではアクセス不可能にすることができ、システム上での検出を困難にします。さらに、アーカイブ内のファイルを隠蔽することも可能で、ユーザーがアーカイブを展開しても、悪意のあるファイルの存在に気づかない可能性があります。
Yairの研究によって発見された4つの脆弱性のうち、3つはMicrosoftによって修正されましたが、1つは未だ修正されていません。これらの脆弱性には、リモートコード実行(RCE)や特権昇格(EoP)が含まれ、攻撃者がシステム上で任意のコードを実行したり、権限を昇格させたりすることを可能にします。
この問題は、Microsoftだけでなく、他のソフトウェアベンダーにも影響を及ぼす可能性があります。ソフトウェア開発者は、DOSパスではなくNTパスを使用することで、この種の脆弱性に対する防御を強化できます。また、セキュリティチームは、ファイルパス内の不正なピリオドやスペースを検出することで、この問題に対処することが推奨されます。
この問題の存在は、今後もさらに多くの脆弱性や攻撃手法の発見につながる可能性があり、セキュリティコミュニティにとって重要な課題です。ソフトウェアベンダーは、既知の問題をバージョンアップごとに引き継がないよう、注意深い対応が求められます。また、この問題は、セキュリティ対策の観点から、未特定の脆弱性や攻撃手法に対する警戒を常に保つことの重要性を示しています。
from 'MagicDot' Windows Weakness Allows Unprivileged Rootkit Activity.
