月曜日、TwitterユーザーのSandboxEscaperは怒りのTwitter投稿を通じてWindows 10のゼロデイ脆弱性に関するニュースを発表し、同時にバグに伴う概念実証も公開した。
既存の回避策なし
SandboxEscaper は、Windows タスク スケジューラの Advanced Local Procedure Call (ALPC) インターフェイスにローカル権限昇格の脆弱性を発見しました。この脆弱性により、ローカル ユーザーが SYSTEM 権限を取得できる可能性があります。
CERT/CCは、このバグが64ビット版Windows 10とWindows Server 2016の両方のシステムで動作することを確認しました。また、いくつかの変更を加えることで、他のバージョンのWindowsでもこのバグを悪用できる可能性があります。CERT/CCのアナリストであるウィル・ドーマン氏は、Twitterで、このバグは「完全にパッチが適用された64ビット版Windows 10システムでは問題なく動作する」と述べました。さらに、Microsoftがパッチをリリースするまでは、攻撃者がこの脆弱性を悪用するのを阻止できる回避策はないと付け加えました。
Microsoft は Tom's Hardware への声明で、9 月 11 日火曜日に予定されている次のアップデートで解決策が提供される可能性があることを示唆しました。
Windows は、報告されたセキュリティ問題を調査し、影響を受けるデバイスを可能な限り迅速にプロアクティブに更新することをお客様に約束しています。当社の標準ポリシーは、現在の Update Tuesday スケジュールを通じて解決策を提供することです。
マイクロソフトのバグ報奨金プログラムへの不満
SandboxEscaper がツイートで使用した言葉から判断すると、このバグまたは以前のバグを Microsoft に報告しようとして悪い経験をしたようで、研究者は Twitter でそれを公表するに至ったようです。
この研究者は、過去1ヶ月間、このバグを他者に販売しようとしていたようです。「SandboxEscaper」という同じ名前の人物が、Windowsのゼロデイバグの販売方法についてRedditに複数回投稿していました。また、TwitterではMicrosoftのソフトウェアのバグを「販売するのが待ちきれない」と発言していました。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
SandboxEscaperの行動は目新しいものではありません。大企業のソフトウェアにバグを発見した人が全員、企業に報告するわけではありません。脆弱性を悪用するブラックマーケットでは、ゼロデイバグやエクスプロイトに対してはるかに高い価格が提示される傾向があります。しかし、研究者がブラックマーケットで入手できる価格とソフトウェアプロバイダーから入手できる価格の差がそれほど大きくない限り、多くの人は依然として、より倫理的なアプローチとしてソフトウェアベンダーにバグを開示することを選択するでしょう。
