公開されている「実証プログラム」の実行例(米トレンドマイクロの情報から引用)。「Guest」アカウントでログオンしたユーザーが、実証プログラム「poc.exe」を実行すると、権限昇格が可能になる
公開されている「実証プログラム」の実行例(米トレンドマイクロの情報から引用)。「Guest」アカウントでログオンしたユーザーが、実証プログラム「poc.exe」を実行すると、権限昇格が可能になる
[画像のクリックで拡大表示]

 セキュリティ組織の米サンズ・インスティチュートなどは2010年11月24日、Windowsのすべてのバージョンに新たな脆弱(ぜいじゃく)性が見つかったことを明らかにした。悪用されると、パソコンを乗っ取られる恐れなどがある。Windows 7などが備えるセキュリティ機能「UAC」も回避されるという。実際、悪用が可能であることを示すプログラム(実証プログラム)が公開されている。修正パッチ(セキュリティ更新プログラム)は未公開。

 今回見つかったのは、Windowsのカーネルに関する脆弱性。脆弱性を悪用すれば、任意のプログラムを、本来は許されていないユーザー権限で実行できる。例えば、標準ユーザーや制限ユーザーで実行した場合でも、管理者権限などで動作してパソコン(システム)を乗っ取るウイルスを作成できる。

 Windows VistaやWindows 7の初期設定では、セキュリティ機能のUACが有効になっているため、システムに影響を与えるプログラムが実行される際には警告が表示される。しかしながら今回の脆弱性を悪用すれば、警告を出さずにプログラムを実行できるという。

 実際、今回の脆弱性が悪用可能であることを示すプログラム(実証プログラム)が公開されている。同プログラムを実行すると、「Guest」アカウントでログオンしたユーザーが、管理者権限などを奪うことができる(図)。

 現在のところ、脆弱性を悪用した攻撃やウイルスは未確認。しかしながらセキュリティ企業の英プレブクスでは、「今回の脆弱性を悪用するウイルスが出現するのは時間の問題」とする。

 通常のウイルスでも、ユーザーが実行すれば動き出して感染する。ただしその場合、ウイルスは実行したユーザーの権限で動作する。そのユーザーができる以上のことはできない。また、Windows VistaやWindows 7では、システムに影響を与えるような動作(設定変更やほかのウイルスのインストールなど)をしようとすると、UACが警告を表示して、ユーザーに許可を求める。

 ところが今回の脆弱性を悪用したウイルスなら、実行したユーザーの権限にかかわらずパソコンを乗っ取れる。加えてUACを回避できるので、実行時に警告は表示されない。

 現時点(2010年11月25日15時)で修正パッチは未公開。米マイクロソフトでは、今回の脆弱性に関する情報も公開していない。今回の脆弱性を早期に確認したプレブクスでは、マイクロソフトと協調して調査に当たっているとしている。