
Microsoftが最多パッチを公開した日に、新たなゼロデイが公開#
Microsoftが記録的な数のセキュリティパッチをリリースしたまさにその日、匿名の研究者が低権限のWindowsアカウントから管理者アカウントへの権限昇格を可能にするエクスプロイトコードを公開した。複数の研究者がこのエクスプロイトの有効性を確認しており、Microsoftは対応に追われている。
「HiveLegacy」とは何か?#
今回公開されたエクスプロイトは 「HiveLegacy」 と名付けられており、Windowsユーザープロファイルサービス(User Profile Service) に存在する脆弱性を狙う、特権昇格(EoP)型のエクスプロイトである。
具体的には、限られたシステム権限しか持たないユーザー(および場合によってはプロセス)が、管理者ユーザーのアカウントに属する 「クラスレジストリハイブ(classes registry hive)」 を改ざんできてしまうというものだ。クラスレジストリハイブとは、Windowsエクスプローラーで特定のファイルをクリックした際に、どのアプリケーションが起動するかを制御するリソースである。
攻撃が成立する条件#
このエクスプロイトを実行するにあたり、攻撃者には以下の条件が求められる。
- 別ユーザーの認証情報を知っていること(管理者権限は不要)
- 第三のアカウントのユーザー名を知っていること(こちらも管理者権限は不要)
なぜ危険なのか?#
脆弱性アナリストのWill Dormann氏(Tharros Labs シニアプリンシパル脆弱性アナリスト)は次のように説明している。
「管理者ユーザーがログインした際に自分のコードが実行されるよう設定できれば、事実上管理者権限を手にしたも同然だ。自分自身が管理者である必要はない。」
さらにDormann氏は、「非管理者ユーザーが管理者ユーザーのクラスレジストリハイブを変更できるという能力は、かなり強力なプリミティブ(基礎的な操作)だ。巧みな攻撃者であれば、ユーザー操作すら必要としない、より興味深いことを容易に考え出せるだろう」と指摘している。
また、別のアナリストの解説によると、新規ユーザーのログオン時にWindowsはユーザーのクラスハイブを読み込む必要があるが、ログオン前はユーザーのコンテキストで読み込めないため、NT AUTHORITY\SYSTEMのコンテキストで読み込まれる。HiveLegacyはこの仕組みを悪用しているという。
さらにDormann氏は、このエクスプロイトを別の独立したエクスプロイトと組み合わせることで、管理者アカウントへの直接アクセスが可能になる可能性も示唆している。
公開した研究者について#
このエクスプロイトを公開したのは、NightmareEclypse という仮名を使う匿名の研究者だ。同研究者はMicrosoftのバグ報告の取り扱いに不満を持っており、今回の「HiveLegacy」を含め、これまでに9件のエクスプロイトを公開している。
なお、NightmareEclypse氏は今回のレポートに含めたPoCコードを、攻撃者が悪意を持って使用できないよう意図的に簡略化したと述べている。
Microsoftの対応と現時点での防衛策#
Microsoftはメールによる声明の中で、この脆弱性レポートを認識しており調査中であることを明らかにした。同社はまた、脆弱性の報告者に対して**協調的な情報開示(Coordinated Disclosure)**ポリシーに従うことを望むとも述べている。
現時点でパッチは提供されていないが、Windowsユーザーが自衛するためにとれる対策として、ソース記事では以下が挙げられている。
- 独立系研究者のKevin Beaumont氏が公開した検出スクリプトを実行する
- ローカル非ユーザーアカウントの作成を制限する
- ProfSvc(プロファイルサービス)に対する予期しないハイブの読み込みを監視する
- NTUSER.DAT / UsrClass.dat のアクティビティを追跡する
まとめ#
Microsoftがかつてない規模のセキュリティパッチを公開した当日に、新たなゼロデイが公表されるという皮肉な状況が生じた。HiveLegacyはWindowsの内部的な仕組みを悪用した特権昇格の脆弱性であり、複数の研究者がその有効性を認めている。現時点でMicrosoftからの修正パッチは提供されていないため、上記の暫定的な対策を講じることが推奨される。
筆者の見解: 匿名研究者が公式な協調開示プロセスを経ずにエクスプロイトを公開し続けているという構造的な問題は、ソフトウェアベンダーと独立系セキュリティ研究者との関係における根深い課題を示している。ただし、この点に関する詳細な背景はソース記事に記載された情報の範囲内での判断であることを付記する。
出典: Windows 0-day drops the same day Microsoft releases record number of patches





