更新、2018年10月18日午前10時20分(太平洋標準時):マイクロソフトは、このセキュリティ上の欠陥と、なぜパッチが適用されていないのかについてのコメント要請に回答した。
「マイクロソフトはセキュリティに強いコミットメントを持ち、報告された脆弱性の調査と解決において確かな実績を積んでいます。今回の報告を精査し、お客様の保護を強化するために更なる措置が必要と判断した場合は、対応いたします」と、マイクロソフトのシニアディレクター、ジェフ・ジョーンズ氏は述べています。
オリジナル、2018年10月18日午前8時58分(太平洋標準時)
セキュリティ企業CSLに勤務するコロンビア出身のセキュリティ研究者、セバスティアン・カストロ氏は、攻撃者がユーザーのシステムに恒久的なバックドアを設置する可能性のあるWindowsの脆弱性を発見した。同研究者によると、マイクロソフトはこの脆弱性をまだ修正していないという。
Windows RID ハイジャック
カストロ氏は、Windowsユーザーアカウントに割り当てられる権限グループを表す相対識別子(RID)が、レジストリを少し変更するだけで変更できることを発見しました。攻撃者はこの手法を利用して管理者権限を取得し、ユーザーのシステムを制御できる可能性があります。
ユーザーの PC が既にオープンで安全でないポートを介してインターネットからの攻撃にさらされている場合、または攻撃者が既にマルウェアを介してシステムへのリモート アクセスを取得している場合を除き、攻撃者はこの変更をリモートで実行することはできません。
しかし、ハッカーがユーザーのアカウントパスワードをブルートフォース攻撃で解読したり、電子メールやその他の媒体を介して感染したファイルをインストールさせたりできる場合、ハッカーは完全なシステムアクセスを持つ永続的なバックドアを手に入れることができます。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
カストロ氏は、この攻撃は非常に信頼性が高く、XPから10までのすべてのWindowsバージョン、そしてWindows Server 2003から2016までで動作すると説明しました。同氏によると、ハッカーは通常のWindowsリソースを使用するため、この攻撃は容易には気づかれません。しかし、制限付きアカウントやゲストアカウントがこの方法でバックドア攻撃を受けたかどうかを確認したい場合は、RIDが管理者アカウントのRIDである「500」に変更されているかどうかを確認してください。
マイクロソフトは脆弱性を修正していない
カストロ氏はZDNetに対し、マイクロソフトに連絡を取ったが返答はなかったと語った。また、この脆弱性は未だ修正されていないことも明らかにした。
マイクロソフトに火をつけるため、研究者はすでに、人気の高い Metasploit エクスプロイト フレームワーク用の完全に機能するエクスプロイトをリリースしており、これは悪意のある攻撃者がこのエクスプロイトを自分たちのエクスプロイト スイートやマルウェアにすぐに統合できるようになることを意味します。
カストロ氏は過去数ヶ月にわたる複数のセキュリティカンファレンスでもこの攻撃について発表しているため、マイクロソフトも既にこの件について十分に認識している可能性が高いです。詳細について同社に問い合わせており、回答が得られ次第、この投稿を更新します。
