Last Updated on 2024-06-26 05:26 by 門倉 朋宏
新たな研究により、WindowsのDOSからNTへのパス変換プロセスが脅威アクターによって悪用され、ルートキットのような機能を持つことが明らかになった。この問題は、ファイルやフォルダが存在するDOSパスをNTパスに変換する際、パス要素の末尾のドットや最後のパス要素の末尾のスペースを削除することによって生じる。この機能はWindowsのほとんどのユーザースペースAPIによって実行される。これにより、特権を持たないユーザーでも、検出されることなく悪意のある行動を実行できる「MagicDotパス」が可能となり、ファイルやプロセスを隠したり、マイクロソフトが公開した検証済み実行ファイルであるとTask ManagerやProcess Explorerを騙したり、Process ExplorerにDoS脆弱性を利用してサービスを停止させるなどの行動が含まれる。
このDOSからNTへのパス変換プロセスの問題により、4つのセキュリティ上の短所が発見され、そのうち3つはMicrosoftによって対処された。未だに対処されていない問題として、特定の権限なしにファイルを削除できる権限昇格(EoP)削除脆弱性がある。対処された脆弱性には、特定の権限なしにファイルに書き込むことができる権限昇格(EoP)書き込み脆弱性(CVE-2023-32054、CVSSスコア: 7.3)、特別に作成されたアーカイブを使用してコード実行が可能になるリモートコード実行(RCE)脆弱性(CVE-2023-36396、CVSSスコア: 7.8)、およびファイル拡張子を持たない255文字の実行可能ファイル名を使用してプロセスを起動する際にProcess Explorerに影響を与えるDoS脆弱性(CVE-2023-42757)が含まれる。
この研究は、一見無害に見える既知の問題がどのように悪用されて脆弱性を発展させ、最終的に重大なセキュリティリスクをもたらすかを探求する初の試みである。この問題は、世界で最も広く使用されているデスクトップOSであるMicrosoft Windowsだけでなく、バージョン間で既知の問題を持続させる多くのソフトウェアベンダーにとっても関連がある。
【ニュース解説】
新たな研究により、WindowsのDOSからNTへのパス変換プロセスに潜む脆弱性が明らかになりました。この脆弱性を悪用することで、脅威アクターはルートキットのような機能を持ち、検出されずに悪意のある行動を実行することが可能になります。具体的には、ファイルやフォルダのパスを変換する際に、パス要素の末尾のドットやスペースが削除されることを利用しています。この問題を利用することで、特権を持たないユーザーでもファイルやプロセスを隠したり、マルウェアファイルをマイクロソフトが公開した検証済み実行ファイルであると偽装するなどの行為が可能になります。
この問題により、4つのセキュリティ上の短所が発見され、そのうち3つはMicrosoftによって既に対処されていますが、特定の権限なしにファイルを削除できる権限昇格削除脆弱性は未だに解決されていません。この研究は、一見無害に見える既知の問題がどのように悪用されて脆弱性を発展させ、最終的に重大なセキュリティリスクをもたらすかを探求する初の試みです。
この発見は、セキュリティ研究の分野において重要な意味を持ちます。まず、開発者やセキュリティ専門家にとって、ソフトウェアの設計や開発段階で既知の問題を見過ごさないよう、より一層の注意が必要であることを示しています。また、この種の脆弱性は、攻撃者による検出困難な攻撃手法の開発につながる可能性があり、セキュリティ対策の強化が急務であることを示唆しています。
ポジティブな側面としては、この研究により、セキュリティコミュニティが新たな脅威に対してより効果的に対応できるようになることが期待されます。一方で、潜在的なリスクとしては、攻撃者がこの脆弱性を悪用して、企業や個人のデータを盗み出したり、システムを不正に制御する可能性があります。
規制に与える影響としては、この種の脆弱性を未然に防ぐためのソフトウェア開発基準やセキュリティ対策のガイドラインが強化される可能性があります。将来への影響としては、ソフトウェアの設計や開発プロセスにおいて、セキュリティを最優先事項とする文化がさらに浸透することが期待されます。長期的な視点では、この研究がきっかけとなり、より安全なデジタル環境の実現に向けた技術的な進歩が加速することが予想されます。
from Researchers Uncover Windows Flaws Granting Hackers Rootkit-Like Powers.
