セキュリティ組織の米US-CERTは12月26日,Windows 2000/Server 2003/XP/Vistaに見つかった新しいセキュリティ・ホール(脆弱性)を突くプログラム(実証コード)がネット上で公開されていることを明らかにした。Windowsマシンにログオンしたユーザー(ローカル・ユーザー)に,高いユーザー権限(SYSTEM権限)を奪われる恐れがある。
今回のセキュリティ・ホールは,セキュリティ・ベンダーや米Microsoftのセキュリティ・チーム「Microsoft Security Response Center(MSRC)」によって12月22日に既に公表されている。セキュリティ・ホールの原因は,Windowsに含まれるライブラリ「Windows Server Library(WINSRV.DLL)」。
このセキュリティ・ホールを突けば,Client Server Run-Time Subsystem(CSRSS)プロセスのもとで,任意のプログラムをSYSTEM権限(最も高いユーザー権限)で実行できる。つまり,権限の昇格を許す可能性がある。セキュリティ・ホールを突くことが可能であることを示す実証コードもインターネット上で公開されているという。
ただし今回のセキュリティ・ホールを悪用するには,攻撃対象マシンに直接ログオンして,セキュリティ・ホールを突くコードを実行する必要がある。リモートから悪用することはできないし,マシンにアクセス権限が与えられていないユーザーが悪用することもできない。
このためセキュリティ・ベンダーでは,セキュリティ・ホールの危険度を低く設定している。例えばデンマークSecuniaでは5段階評価で下から2番目の「Less Critical」,フランスFrSIRTでは4段階評価で下から2番目の「Moderate Risk」に設定している。
修正パッチは未公開。現時点での回避策としてはSecuniaでは,「信頼できないユーザーにはアクセス権限を与えない」ことを挙げている。
・US-CERTの情報
・Microsoft Security Response Center Blog
