Microsoft、1月のセキュリティ更新プログラムで米NSAから報告された脆弱性を修正

Microsoftは1月のセキュリティ更新プログラムで合計14件の脆弱性を修正しているが、このうちCVE-2020-0601には報告者として米国家安全保障局(NSA)が挙げられている(セキュリティ更新プログラムガイド CVE-2020-0601Microsoft Security Response Centerのブログ記事NSAのアドバイザリー: PDFNSAのニュース記事SlashGearの記事)。

CVE-2020-0601はWindows 10/Server 2016以降のCryptAPI(Crypt32.dll)が楕円曲線暗号(ECC)証明書を検証する方法に存在するなりすましの脆弱性。攻撃者は本物を装った偽のコードサイニング証明書で悪意ある実行ファイルに署名することで中間者攻撃が可能となり、影響を受けるソフトウェアに接続するユーザーの機密情報を復号できるという。Microsoftは脆弱性の深刻度を2番目に高い「重要」と評価するのに対し、CVSS 3.xスコアは「8.1 High」であり、NSAは「critical」「serious」と表現している。現在のところアクティブな攻撃は確認されていないとのことだが、脆弱性公表後にPoCが開発され、偽の証明書で偽のWebページを正規のWebページに見せかけるデモが何件か行われている。

NSAは発見したソフトウェアの脆弱性のほとんどを公表する一方で、状況によっては公表せず情報収集に使用することを明らかにしている。2017年にハッカーグループShadow Brokerが公開したNSAのエクスプロイト「EternalBlue」はWindowsの脆弱性(CVE-2017-0145)を利用しており、このエクスプロイトを利用したランサムウェアWannaCrypt/WannaCryは世界規模で被害が拡大することになった。なお、Microsoftが修正した脆弱性で、報告者としてNSAが記載されるのは今回が初めてのようだ。

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | バグ | Windows | 暗号 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
米NSA、WannaCryには北朝鮮の諜報機関が関与していると判断 2017年06月20日
Microsoft、脆弱性情報をサイバー兵器として備蓄する政府を批判 2017年05月17日
Microsoft、Windows XPのセキュリティ更新プログラムを公開 2017年05月14日
Shadow BrokersがNSAも使っているというエクスプロイトを公開、Windowsにおいてはすべて対応済み 2017年04月19日
ハッカー集団が米国家安全保障局のサイバー攻撃ソフトを奪取、競売で売る計画 2016年08月20日
米NSA局長曰く、発見した脆弱性のほとんどは公表している 2014年11月09日