Windows AppContainer の脆弱性が Google Project Zero により開示された

Google Discloses Details of Unpatched Windows AppContainer Flaw

2021/08/20 SecurityWeek — Google Project Zero の研究者である James Forshaw は、Windows firewall と AppContainer に関する調査結果をブログに掲載した。AppContainer とは、Microsoft に説明によると制限付きプロセス実行環境であり、この環境内で実行されるアプリケーションに制限を加え、ハードウェア/ファイル/レジストリ/他のアプリケーション/ネットワーク・リソースなどに、アクセスできなくするものだ。

Microsoft は、AppContainer のドキュメントの中で、「AppContainer に実装されたアプリケーションは、割り当てられたリソースの外側で、悪意の行動となるハッキングはできない」と述べている。しかし、James Forshaw は、この制限を回避する方法を発見したと主張している。この方法を用いれば、攻撃者は localhost 上のサービスや、イントラネットのリソースにアクセスできる可能性がある。Forshaw はアドバイザリの中で、「Windows Filtering Platform (WFP) の接続層のデフォルト・ルールは、特定の実行型ファイルが特権昇格の機能を持つことなく、AppContainer の TCP ソケットに接続することを許可している」と説明している。

7月8日に Forshaw は、発見した内容を Microsoft に報告したが、その約10日後に Microsoft から、悪用するには AppContainer を侵害する必要があるため、修正は行わないとの回答を得またという。Google Project Zero のルールでは、修正プログラムがリリースされない場合、脆弱性の詳細は 90日後に開示される。しかし、今回のケースでは、Microsoft が修正プログラムを発行しないと発表したことで、バグ・レポートは 7月19日に公開された。このような状況でのバグ・レポートは、ベンダーの決定に関する議論を促すために、Project Zero により公開される。しかし、Forshaw が木曜日に発見した内容を詳細に記した、ブログ記事を公開する直前になって、Microsoft は「この問題に取り組み続けることを決定した 」と連絡してきた。SecurityWeek は Microsoft にコメントを求めており、同社からの回答があれば、この記事を更新する予定だ。

Google の方針により、Microsoft が一定の期間内にパッチを当てられなかった脆弱性の詳細が、積極的に悪用された欠陥も含めて、開示されることは珍しくない。この、Google の厳しい開示期限は、ユーザーを危険にさらしているとして、Microsoft などから批判を受けることもある。

Google Project Zero の 90日ルールは、強引といえば強引ですが、じゃぁいつまで待てば良いの? となると、それは、それで、ズルズルいきそうなので、仕方ないと思います。なんというか、嫌われ役ですが、頑張って欲しいです。脆弱性に絡む者は、嫌われたり、煙たがれたりと、なかなか辛い人生を歩みますと、お隣のキュレーション・チームは、いつも愚痴っています。

%d bloggers like this: