Laughing Mantisというハンドルネームで活動するGreg Linares氏は、Xで面白いエピソードを披露しました。彼とチームメイトがOffice 2007の重大なゼロデイ脆弱性を公表したものの、それが自分たちのミスだったことが判明したというエピソードです。評判、仕事、そしておそらくは事業を守るために、彼らは必死に本物のバグを見つけなければなりませんでした。これは2006年後半、Linares氏がデジタルセキュリティ企業eEyeで働いていた頃のことでした。当時、彼らは新しいMicrosoft Officeスイートの脆弱性をテストしていました。
eEyeは脅威管理における有力企業の一つであり、当時最も広く利用されていた企業向けソフトウェアスイートの一つであるこの製品の最新バージョンにゼロデイ脆弱性がないか確認することが同社の任務でした。リリースから36時間以内に、リナレスはWordのWordアート変換機能にバグを発見しました。この機能は、Wordが古いWordアート構造をOffice 2007向けの最新の構造に変換するために使用されます。
彼はこの発見を上司のマーク・メイフレット(現在は2012年にeEyeを買収したBeyondTrustのCTO)に伝えました。メイフレットもリナレスの発見に同意し、Microsoft Security Response Center(MSRC)に報告しました。同時に、eEyeはこのバグに関するプレスリリースを複数発表し、いくつかの大手ニュースメディアもeEyeの発表に基づいてこの件を報道しました…
おっと、誤検知でした
このPRリリースと広範な報道から間もなく、Office 2007の開発に携わった主要なセキュリティ専門家の一人、デイビッド・ルブラン氏は、このバグを悪用できるのはプログラムにデバッガーが接続されている時だけであることに気付きました。これは、ほとんどの一般ユーザーが持っていない、あるいはスイートを日常的に使用する上では機能しないものです。ルブラン氏は「つまり、あのクラッシュについては…デバッガーが接続されている時だけ悪用できるということです」と述べました。つまり、グレッグ・リナレス氏の発見は誤検知だったため、eEyeは発表を撤回せざるを得なかったのです。いや、撤回しないのでしょうか?
グレッグはeEyeに入社してまだ2ヶ月も経っていなかったが、自分のミスが会社の評判を落とす可能性があったため、ひどく落ち込んでいた。もしeEyeがMicrosoft Officeのゼロデイ脆弱性に関する調査結果を撤回せざるを得なくなったら、リナレスの職も失う可能性が高かっただろう。
しかし、マークは別の考えを持っていました。プレスリリースを撤回する代わりに、研究チームにOffice 2007の新たなゼロデイ脆弱性を早急に発見するよう指示したのです。その間、eEyeはMSRCに対し、チームが誤ったファイルを送信したため、すぐにアップデートを提供すると伝え、時間を稼ぎました。
そこでリナレスは、Officeスイートに手動でファジング(無効で予期しない入力をランダムに挿入する)を行い、何かを見つけようと試みました。しかし、この試みは彼一人の力によるものではありませんでした。研究チーム全員が彼の元に集まり、「みんなで一緒に乗り越えよう。一緒にやろう」と声をかけました。数日間、チームの誰もオフィスを離れず、妻やパートナーたちは皆、心配でたまりませんでした。しかし、最初の発表を裏付ける新たなバグが見つかるまでは、諦めることができませんでした。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
4日間にわたるランダムファジング、分析ツールキット、バイナリデコンパイラ、そしてピザ山を何枚も使った後、ついに1つのファジングツールがヒットしました。チーム全員の正気を取り戻したのです。デバッガーなしで再度ファジングツールを実行したところ、同じクラッシュが発生しました。0x4141414141。これは拡張命令ポインタ(EIP)の完全な上書きであり、チームがアプリを制御できるようになるものでした。
私は半分意識を失い、錯乱状態です。ピザの半分を手に持ち、ほとんど意識がありません。ファザーが本当に作動する音が聞こえた瞬間、意識が戻りながらマウンテンデューのコードレッドをこぼしました。2024年6月8日
グレッグのチームメイトであるユウジとデレクは、バグの原因を突き止めるためにリバースエンジニアリングを開始し、Microsoft Publisher(Excel、PowerPoint、Wordほど普及していなかったMicrosoftのデスクトップパブリッシングソフトウェア)に影響があることを発見しました。デバッガーと新しいオペレーティングシステムで脆弱性を再テストした結果、チームはバグの存在を確認しました。
チームはその後、この脆弱性をMSRCに報告しましたが、その深刻さから、MicrosoftはLeBlanc氏をオフィスに呼び戻して調査させる必要がありました。eEyeチームは脆弱性の完全なデモを公開し、報道陣に発見内容を確認しました。その後、Microsoftは問題を発見したチームに返答し、脆弱性を確認しました。LeBlanc氏が整数オーバーフローを防ぐために構築したポータブルライブラリであるSafeIntが、この構造体に適用されていなかったことが、脆弱性の原因でした。
MSRCが問題を認めたことを受け、eEyeは脆弱性の詳細を周知する勧告を作成しました。同社は当初の発表を撤回する必要はなく、グレッグはeEyeでのセキュリティ研究者としての職を維持することができました。現在、彼は情報セキュリティ業界で20年以上勤務し、中小企業向けに特化したサイバーセキュリティ企業Huntress Labsに所属しています。
ジョウィ・モラレスは、長年のテクノロジー業界での実務経験を持つテクノロジー愛好家です。2021年から複数のテクノロジー系出版物に寄稿しており、特にテクノロジー系ハードウェアとコンシューマーエレクトロニクスに興味を持っています。
