The Registerによると、Microsoftの脆弱性を立て続けに公開している匿名の研究者が、また2件のゼロデイ情報を出しました。
今回の名前は YellowKey と GreenPlasma。前者は BitLocker bypass、後者は privilege escalation(権限昇格)です。
ざっくり言うと、BitLocker bypassは「暗号化されたはずのPCの守りをすり抜ける」話、権限昇格は「一般ユーザーとして入ったあと、管理者権限やSYSTEM権限まで上がる」話です。
どちらも、攻撃者にとってはかなりおいしい。特にBitLocker回避は、盗まれたノートPCの価値を一気に上げてしまうので厄介です。ここは本当に嫌な感じがします。
YellowKeyについて研究者は「自分が見つけた中でもかなり異常な発見だ」と表現しているそうです。
公開された情報では、USBドライブに読み込ませるファイル群を使い、正しいキーシーケンスを実行すると、BitLockerで保護されたマシンに対して制限なしのshell accessが得られる、とされています。
BitLockerは、Windowsの最後の砦みたいなものです。
PCを盗まれても、ストレージが暗号化されていれば、中身のデータをすぐ読めない。だから企業や個人にとっては大事な防御策なんですよね。
ForescoutのRik Ferguson氏は、もしこの主張が本当なら、盗難PCは単なるハードウェア紛失ではなく、侵害通知が必要な“情報漏えい事件”になるとコメントしています。これはかなり重い指摘です。
個人的にも、ここがこの話のいちばん怖いところだと思います。PCの紛失・盗難はよくある話ですが、「暗号化してあるから大丈夫」という前提が崩れると、話の重みがまるで違ってきます。
ただし、記事ではYellowKeyは物理アクセスが必要だとも書かれています。つまり、遠隔からネット越しに攻撃するタイプではありません。
とはいえ、Gavin Knapp氏は「それでもBitLockerを使っている組織にとっては大きな問題」と述べています。対策としては、BitLocker PIN と BIOS password lock が有効とされています。
ここで重要なのは、
もう1つのGreenPlasmaは、完全なPoC(proof of concept)ではなく、部分的なexploit codeが公開された段階です。
つまり、「こうやれば悪用できそう」という設計図の断片はあるけれど、攻撃者が自分で仕上げる必要がある、ということです。
Ferguson氏によると、現時点ではWindowsの標準設定だとUAC consent prompt、つまり「本当にこの操作を許可しますか?」という確認画面が出るため、静かに悪用するのはまだ難しいそうです。
ただ、これは「安全」とは全然違います。攻撃者にとっては、完成品でなくても材料があれば十分なことが多いからです。
Knapp氏も、こうしたelevation of privilegeの脆弱性は、攻撃者が最初に侵入したあとに使われがちだと警告しています。
たとえば、
という流れです。
つまり権限昇格は、単体では地味に見えても、本命の大事故につながる中継点なんですよね。こういう“中盤の重要プレー”は、セキュリティではほんとに見落とされがちです。
今回の研究者は、Nightmare-Eclipse、あるいはChaotic Eclipseという名義で活動しているようです。
The Registerによれば、今年すでに3件のWindowsゼロデイを悪意ある形で公開しており、今回の2件で合計5件目。かなり異常なペースです。
記事では、別名義での最初の投稿に、Microsoftとの「信頼関係が壊れた」といった趣旨の恨み節が書かれていたと紹介されています。
要するに、研究上の対立というより、かなり感情が絡んだ報復の連鎖に見える、ということです。
しかも記事によると、以前公開された RedSun と UnDefend はまだ未修正で、Huntressによれば、公開されたPoCが実際の攻撃に使われた例もあるそうです。
ここはかなり生々しい話で、研究者の“公開”がそのまま防御側の啓発で終わらず、現場の攻撃を加速させてしまうのがつらいところです。
Ferguson氏は、今回の公開はエスカレートする報復キャンペーンの一部で、まだ続きがあると警告しています。
記事によると、研究者は次のPatch Tuesdayにも触れ、将来的なRCE(remote code execution、遠隔からコードを実行される脆弱性)公開をほのめかしているそうです。さらに、dead man's switch、つまり自分に何かあったとき自動で公開される仕組みまで示唆しているとのこと。
もし本当にそうなら、Microsoftも防御側も、しばらく気が休まらないはずです。
個人的には、こういう“予告つきの漏えい”は、セキュリティ研究というより、ほとんど脅迫に近い空気を感じます。もちろん背景事情は外からは断定できませんが、少なくとも守る側から見ればかなり嫌な展開です。
今回のポイントは、「Microsoftの新しいゼロデイが2件出た」というだけではありません。
本当に重要なのは、BitLockerの突破が現実化すれば、盗難端末の意味が変わることと、権限昇格は後続攻撃の“必需品”になりやすいことです。
つまりこれは、
にまで影響する話です。
セキュリティ記事としては派手ですが、実務的にはかなりイヤなニュースだと思います。特にBitLockerを“最後の盾”だと思っていた人ほど、今回の話は重く受け止めたほうがよさそうです。
.svg)
