MicrosoftとNSAはセキュリティバグが何百万ものWindows 10コンピュータに影響を与えると言います

0
49

マイクロソフトは、Windows 10を実行している何億ものコンピューターに影響を与える危険な脆弱性に対するセキュリティパッチをリリースしました。

この脆弱性は、CryptoAPIと呼ばれる数十年前のWindows暗号化コンポーネントに見られます。このコンポーネントにはさまざまな機能があり、そのうちの1つは開発者がソフトウェアにデジタル署名することを可能にし、ソフトウェアが改ざんされていないことを証明します。しかし、このバグにより、攻撃者は正規のソフトウェアを偽装し、ランサムウェアなどの悪意のあるソフトウェアを脆弱なコンピューター上で実行しやすくする可能性があります。

「デジタル署名は信頼できるプロバイダーからのものであるように見えるため、ユーザーはファイルが悪意のあるものであると知る方法はありません」とMicrosoftは述べています。

カーネギーメロン大学の脆弱性情報開示センターであるCERT-CCは、このアドバイザリで、このバグはHTTPS(またはTLS)通信の傍受や変更にも使用できると述べています。

マイクロソフトは、バグが攻撃者によって積極的に悪用されていることを示す証拠を発見せず、バグを「重要」に分類したと述べた。

国家安全保障局

独立したセキュリティジャーナリストのブライアンクレブスが最初にバグの詳細を報告しました。

国家安全保障局は、脆弱性を発見し、詳細をマイクロソフトに引き渡したことを記者との電話で確認し、会社が修正をビルドして準備できるようにしました。

たった2年前、スパイ機関はマイクロソフトに欠陥を警告するのではなく、Windowsの脆弱性を発見して使用して監視を行うことで非難されました。代理店はこの脆弱性を利用して、EternalBlueと呼ばれるエクスプロイトを作成し、脆弱なコンピュータを密かにバックドアする方法として使用しました。しかし、このエクスプロイトはリークされ、何千ものコンピューターをWannaCryランサムウェアに感染させるために使用され、数百万ドル相当の被害をもたらしました。

NSAのサイバーセキュリティディレクターであるアンノイバーガー氏はTechCrunchに対し、脆弱性が発見されると、脆弱性の株式プロセスを通過することを明らかにしました。または、ベンダーに開示する必要がある場合。 NSAがマイクロソフトに報告する前に、バグを攻撃的な操作に使用したかどうかは不明です。

「このような重大な脆弱性が武器化されたのではなくベンダーに引き継がれるのを見るのは心強いことです。」

Neubergerは、NSAが攻撃者がバグを積極的に悪用したのを見たことがないというマイクロソフトの調査結果を確認しました。

ミドルネットワークアクセス。」

RSAの元ハッカーであり、Rendition Infosecの創設者でもあるジェイクウィリアムズ氏は、この欠陥が「兵器化されるのではなく」裏返されたことは「心強い」と語った。

「これは、政府にとって一般的なハッカーよりも使いやすいバグだ」と彼は言った。 「これは、ミドルネットワークアクセスの男性とカップルするのに理想的なエクスプロイトでした。」

マイクロソフトは、バグが悪用される恐れがある中、火曜日の一般向けリリースに先立って、米国政府、軍、およびその他の著名な企業に対して、影響を受けるWindows 10およびWindows Server 2016のパッチをリリースしたと言われています。脆弱なコンピュータがアクティブな攻撃を受ける可能性があります。

大手ソフトウェア会社は脆弱性の詳細について緊密な関係を維持しており、その存在を完全に認識している企業はほとんどありませんでした。政府のサイバーセキュリティアドバイザリーユニットであるサイバーセキュリティおよびインフラストラクチャセキュリティエージェンシーなど、社外およびNSAのほんの一部のみが説明を受けました。

CISAはまた、脆弱性にパッチを適用するよう連邦政府機関に強制する指令を発行しました。

ウィリアムズ氏は、この現在パッチが当てられている欠陥は「任意の数のエンドポイントセキュリティコントロールをバイパスするためのスケルトンキー」のようなものだと語った、と彼はTechCrunchに語った。

熟練した攻撃者は、証明書を取得して盗むことで、マルウェアを正規のソフトウェアとして偽装しようと長い間試みてきました。昨年、攻撃者はコンピューターメーカーのAsusが所有する証明書を盗んで、そのソフトウェア更新ツールのバックドアバージョンに署名しました。その結果、自社のサーバーにツールをプッシュすることで、「数十万」のAsus顧客が侵害されました。

証明書が紛失または盗難に遭った場合、それらを使用してアプリメーカーになりすまし、悪意のあるソフトウェアに署名して、元の開発者が作成したように見せかけることができます。

セキュリティ企業CrowdStrikeの共同創設者兼最高技術責任者であるDmitri Alperovitchはツイートで、NSAが発見したバグは「重大な問題」であると述べました。

「誰もがパッチを当てるべきです。待ってはいけない」と彼は言った。