米Googleが10月31日に公表したWindowsカーネルにおける未修正の脆弱性について、米Microsoftは1日、月例で提供している修正プログラムの一部として11月8日にリリースすることを公式ブログで明らかにした。

このブログ記事は、米Microsoft Windows&Deviceグループのエグゼティブバイスプレジデントであるテリー・マイヤーソン氏が執筆している。

Windows Defender ATP Exploit Research TeamとMicrosoft Security Response Center（MSRC）による分析では、この脆弱性を悪用した攻撃は、特定の顧客企業をターゲットとして、10月27日に修正プログラムが公開されたFlash Playerの脆弱性とセットで用いられているという。

この攻撃を成功させるには、Flash Playerの脆弱性を突いてブラウザープロセスの制御を取得し、ウェブブラウザーのサンドボックスを逃れるためにWindowsカーネルにおける未修正の脆弱性を悪用して特権昇格を行った上で、PCへのアクセスを行うためのバックドアをインストールする必要がある。

このWindowsにおける未修正の脆弱性は、Anniversary Updateを含むWindows 10と、Windows 8.1/8/7/Vistaが対象になる。ただし、Windows 10 Anniversary Updateの環境におけるMicrosoft Edgeでは、この脆弱性への攻撃は緩和されるとのことだ。また、Microsoftでは、Flash Playerの脆弱性修正プログラムを定例外となる10月28日にリリースしている。

特権昇格が成功した場合、バックドアはブラウザーのプロセス内で実行されるものの、Windows Defender ATPあるいはOffice 365 ATPにより、この攻撃における複数の段階について検出が可能とのことだ。

Googleが公表したWindowsにおける未解決の脆弱性とFlash Playerの脆弱性を突いた攻撃を行っているのは、「STRONTIUM」と呼ばれるグループとのこと。政府、軍事組織や、これらと提携する研究機関・民間組織を標的に、機密情報の奪取などを目的として活動している。

Microsoftでは、この攻撃への対処において、Adobe SystemsやGoogleと協力しているとする一方、Googleが「攻撃が観測されてから7日後に修正プログラムが提供されない場合に公表する」との独自のポリシーに基づいて、Windowsにおける未解決の脆弱性を公表したことについて、「脆弱性の公開については、責任あるIT企業であれば、顧客を第一に考えて協調すべきと信じている」とした上で、「修正プログラムがテストされ、広く利用可能になる前に、脆弱性情報を開示し、顧客を危険にさらすGoogleの決定は残念だ」としている。