WindowsのBlueHammer脆弱性とMicrosoftの対応を巡る議論

サイバーセキュリティ業界で、脆弱性開示ポリシーを巡る新たな議論が巻き起こっている。偽名「Chaotic Eclipse」を使用する研究者が、Microsoft Security Response Center（MSRC）の対応に不満を抱き、Windowsのゼロデイ脆弱性「BlueHammer」の詳細を公開した。この脆弱性は、ローカル権限昇格の欠陥である。

研究者によれば、当初は公式チャネルを通じてMicrosoftに問題を報告した。しかし、MSRCからのレビュープロセスとコミュニケーションが非常に不十分だったため、詳細を独自に公開する決断を下した。この行動は、開発者がバグを修正する時間を与えられる調整開示の慣行に反するものである。

技術的観点から見ると、BlueHammerはTOCTOU（時間差攻撃）の脆弱性とパス混同を組み合わせて悪用する。攻撃が成功すると、ローカルユーザーのパスワードハッシュが保存されているSAMデータベースへのアクセスが可能となり、SYSTEMレベルへの権限昇格を引き起こし、事実上システム全体を制御できるようになる。

研究者は、この脆弱性の悪用にはデバイスへの既存のローカルアクセスが必要であり、特にWindowsサーバー版ではすべての環境で確実に動作しないと指摘している。これにより脅威の規模は縮小するが、深刻さがなくなるわけではない。Microsoftは、問題を調査中で修正を準備していることを確認し、責任ある脆弱性開示への取り組みを再表明した。同社は、ユーザーリスクを最小限に抑えるため、公開前にこのような欠陥に対処することを目標としていると強調した。