3月20日(米国時間)、Threatpostに掲載された記事「Local Windows Admins Can Hijack Sessions Without Credentials|Threatpost|The first stop for security news」が、Windowsには管理者権限を持ったユーザーが他のユーザーのセッションをハイジャックすることが可能な問題があると伝えた。
同記事は、研究者であるAlexander Korznikov氏のブログに基づくもので、Remote Desktop Protocol (RDP)を使って、他のユーザーの機密情報などにアクセスできると指摘している。
掲載されている動画には、管理者権限のあるユーザーでログインし、特定のコマンドを実行してからアプリケーションを操作すると他のユーザーとしてログインして作業できるようになる様子が示されている。その際、他のユーザーのアカウント情報の入力は求められていない。管理者権限を持ったユーザーであれば、自由に他のユーザーのセッションがハイジャックできることになり、特別なことをしなくても他のユーザーのデータにアクセスできることになる。
Threatpostに対し、Microsoftはこの件に関して脆弱性とは認識していないと説明。管理者権限を持っている時点でそのユーザーはさまざまな操作ができるため、こうした操作が脆弱性に相当するとは位置づけていないとしている。この動作が確認されたプラットフォームはWindows 2012 Server、Windows 2008 Server、Windows 10、Windows 7とされている。