BleepingComputerは11月22日(米国時間)、「New Windows zero-day with public exploit lets you become an admin」において、Windowsに新しい特権昇格のゼロデイ脆弱性が報告され、研究者によってMicrosoftが対処する前に概念実証コードが公開されたと伝えた。この脆弱性を悪用されると、攻撃者によって対象のシステムで特権昇格が行われ、管理者権限を奪い取られる危険性があるという。
この脆弱性を発見したのはセキュリティ研究者のAbdelhamid Naceri氏である。Abdelhamid Naceri氏は「CVE-2021-41379」として追跡されているWindowsの別の脆弱性の発見者でもある。Naceri氏の報告を受けて、Microsoftは2021年11月の月例セキュリティアップデートの一貫としてCVE-2021-41379に対する修正をリリースした。
Naceri氏はこの修正パッチの検証中に、問題が修正されておらず、より強力な特権昇格の脆弱性を含んでいることを発見したという。概念実証コードは、その証明のために作成され、GitHubで公開された。
-
「InstallerFileTakeOver」として公開された概念実証コード
BleepingComputerによれば、この概念実証コードを使用して、数秒の間に一般権限のユーザアカウントがSYSTEM権限を取得することに成功したという。この脆弱性は、Windows 10、Windows 11、およびWindows Server 2022を含む、サポートされているすべてのバージョンのWindowsに影響するとのことだ。
Naceri氏は、概念実証コードを公開した理由として、Microsoftがバグ報奨金プログラムの報酬額を下げたことに不信感を抱いているからと説明している。同プログラムの報酬額の減額について不満の声を挙げているのはNaceri氏だけではない。さらに言えば、MicrosoftだけでなくGoogleなどの他の企業に対しても同様の批判の声がある。どんな理由にしても業界の慣例から外れた脆弱性情報の公開は賛成できるものではないが、外部の協力者に対するベンダーの不誠実な姿勢は、結果として顧客のシステムを危険にさらすことにつながる可能性がある。
「シングルマルチモニター」でプログラマーやデザイナーも作業効率倍増!5Kウルトラワイドモニターの活用術
