Microsoft、1月のセキュリティ更新で米NSAから報告された脆弱性を修正
2020年1月18日 17:45
Microsoftは1月のセキュリティ更新プログラムで合計14件の脆弱性を修正しているが、このうちCVE-2020-0601には報告者として米国家安全保障局(NSA)が挙げられている(セキュリティ更新プログラムガイド CVE-2020-0601、Microsoft Security Response Centerのブログ記事、NSAのアドバイザリー: PDF、NSAのニュース記事、SlashGearの記事)。
CVE-2020-0601はWindows 10/Server 2016以降のCryptAPI(Crypt32.dll)が楕円曲線暗号(ECC)証明書を検証する方法に存在するなりすましの脆弱性。攻撃者は本物を装った偽のコードサイニング証明書で悪意ある実行ファイルに署名することで中間者攻撃が可能となり、影響を受けるソフトウェアに接続するユーザーの機密情報を復号できるという。Microsoftは脆弱性の深刻度を2番目に高い「重要」と評価するのに対し、CVSS 3.xスコアは「8.1 High」であり、NSAは「critical」「serious」と表現している。現在のところアクティブな攻撃は確認されていないとのことだが、脆弱性公表後にPoCが開発され、偽の証明書で偽のWebページを正規のWebページに見せかけるデモが何件か行われている。
NSAは発見したソフトウェアの脆弱性のほとんどを公表する一方で、状況によっては公表せず情報収集に使用することを明らかにしている。2017年にハッカーグループShadow Brokerが公開したNSAのエクスプロイト「EternalBlue」はWindowsの脆弱性(CVE-2017-0145)を利用しており、このエクスプロイトを利用したランサムウェアWannaCrypt/WannaCryは世界規模で被害が拡大することになった。なお、Microsoftが修正した脆弱性で、報告者としてNSAが記載されるのは今回が初めてのようだ。