Microsoft Has Yet to Patch 7 Pwn2Own Zero-Days
2024/05/17 DarkReading — Pwn2Own 2024 Vancouver で明らかにされた、7種類の特権昇格の Windows 脆弱性だが、2ヶ月が経過した現在も、Microsoft による対処が行われていない。5月の Patch Tuesday では、活発に悪用されている CVE-2024-30051/CVE-2024-30040 などを含む、全体で 60件ほどの脆弱性が修正されている。しかし、Apple や Google などとは異なり、この3月にホワイト・ハッカーたちが証明した多数のバグに、依然として Microsoft はパッチを適用していない。
現時点において修正されたのは、1件の脆弱性のみである。それは、Chromium の問題であり、Google が作成した Chrome 用の修正パッチが、Microsoft により Edge ブラウザに移植された。
Windows において未解決の脆弱性だが、現時点において、悪意のハッカーにより悪用されているという兆候はない。しかし、研究者たちが、それぞれの悪用方法を証明しているため、Pwn2Own を運営する Trend Micro の Zero Day Initiative (ZDI) は、Microsoft の対応を野放し状態の放置とみなしている。
ZDI の Head of Threat Awareness である Dustin Childs は、「これらのタイプのバグは、脅威アクターたちが頻繁に悪用するものである。また、一連のバグを、リモート・コード実行のバグと組み合わせると、システムを乗っ取りにいたることもあり、あらゆるユーザーにとって現実的な脅威である」と述べている。
Pwn2Own における Windows のバグ
問題となっている7件の権限昇格のバグは、Windows の各種コンポーネントに対して影響を及ぼすものである。これらのバグとして挙げられているのは、2件の use-after-free バグおよび、time-of-check to time-of-use (TOCTOU) バグ、ヒープバッファ・オーバーフロー、特権コンテキストの切り替えエラー、指定された入力量の不適切な検証、そして、競合状態などである。
また、それらの中には、オペレーティング・システムにおける直接的なエスカレーションの問題も含まれる。さらには、guest-to-host エスケープにおける仮想化のバグと組み合わせて、影響を及ぼすものもある。
現時点において、これ以上の詳細については秘密が保たれている。Pwn2Own の原則として、大会終了後 90日間は、ベンダーにおけるパッチ適用の期間としてを認めている。つまり、今年のイベントは 3月20日〜22日にかけて開催されており、Microsoft には依然として1ヶ月強の猶予が残されていることになる。
Microsoft は、Pwn2Own 2024で発見された脆弱性について、90日間の公開期限内に対処するよう取り組んでいると、Dark Reading に対して伝えている。
Dustin Childs は、「個人的には、Microsoft が孤立していることに不安を感じ始めている。Mozilla は数日以内でパッチを当てた。VMware も Oracle も、パッチを適用している。OS へのパッチ適用が、大変なことなのは分かっている。しかし、Microsoft はセキュリティを最重要視しており、先月は過去最大となるパッチを適用している。つまり、彼らは、他のことにリーソースを割き、Pwn2Own で見つけられた脆弱性の優先度が落ちているのかと、心配している」と述べている。
Chromium ベースの Edge は、ちょっと特殊な扱いを受けているように見えますが、この記事で、どの脆弱性が問題視されているのかというレベルまでは、追いかけきれませんでした。よろしければ、ZDI のレポートを、ご参照ください。また、Pwn2Own というか、ZDI と Microsoft の関係ですが、2021/08/30 の「Microsoft Exchange の脆弱性 ProxyToken によりメールがハックされる」のときに、ギクシャクしているのかと、感じた記憶があります。そんなことは無いはずと思いたいですが、バグバウンティとベンダーの関係には、なかなか難しいところが在るのかもしれません。よろしければ、Pwn2Own で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.