Windowsの「ブルースクリーン問題」 Microsoftが頑なに脆弱性を認めない理由
Fortraの研究者は、2024年8月12日にMicrosoftの共通ログファイルシステムの欠陥を明らかにした。この結果によりクラッシュが繰り返され、データを損失する恐れがある。
2024年8月12日、サイバーセキュリティ事業を営むFortraの研究者は(注1)「Windows」の共通ログファイルシステムに脆弱(ぜいじゃく)性が見つかり(注2)、「Windows 10」と「Windows 11」の全てのバージョンにおいてブルースクリーンを発生させる可能性があると発表した。
Microsoftが頑なに非を認めないワケ
Fortraの報告書によると、この脆弱性は「CVE-2024- 6768」として識別され(注3)、入力データの検証が不適切であることが原因だという。回復不可能な不具合を引き起こし、「KeBugCheckEx」と呼ばれる関数を起動させ(注4)、ブルースクリーンを引き起こす可能性がある。
Fortraによると、悪意のあるハッカーがこの欠陥を利用してシステムの操作を妨害し、繰り返しクラッシュを引き起こしたりデータを損失させたりする可能性がある。しかし、Microsoftは脆弱性の存在を認めようとはしなかった。
2023年12月、FortraはMicrosoftにこの脆弱性の存在を報告し、概念実証のエクスプロイトを提供した。だが、Fortraが提供したタイムラインによると(注5)、Microsoftは「エンジニアが脆弱性を再現できなかった」と伝えた。
Fortraのタイラー・レグリー氏(セキュリティリサーチ担当のアソシエイトディレクター)は、電子メールで「Microsoftは問題を再現できないと述べて、ケースをクローズした」と語った。Microsoftは「提供された研究結果はセキュリティの領域において即時対応が必要な脅威の水準に達していない」とコメントした。
Microsoftの広報担当者は、電子メールで次のように語った。
「この報告を確認した結果、当社の深刻度分類ガイドラインでは即時対応の基準に達していないため(注6)、将来の製品アップデートで対応することを決定した。この技術は、ターゲットマシン上で既に攻撃者がコードの実行権限を持っていることを前提としており、高い権限を付与するものではない」
Microsoftは、認識していないプログラムを実行する際に十分に注意を払い、適切なコンピューティングを実践するようユーザーに呼びかけている。
今回の脆弱性の公表は、史上最大規模の世界的なIT障害にMicrosoftが関与してから1カ月も過ぎないうちの出来事だった。CrowdStrikeのプラットフォーム「Falcon」のソフトウェアアップデートに欠陥があり(注7)、2024年7月19日に約850万台のWindowsデバイスを巻き込んだ障害が発生した。
世界中の航空企業や病院、金融機関などの重要なプロバイダーは、Windows PCでブルースクリーンに直面し、影響を受けた。Fortraが特定した脆弱性が、CrowdStrikeのアップデートによる障害に関係するものだったという証拠はない。
Microsoftは2024年7月下旬にも、「Microsoft Azure」と「Microsoft 365」のサービスに影響を与えた新たなDDoS攻撃に対処した(注8)。
編集部注:本記事は、Fortraの追加情報とMicrosoftによる声明の内容を含み、構成した。
出典:Microsoft Windows CVE triggers blue screen of death, researchers find(Cybersecurity Dive)
注1:CVE-2024-6768: Improper Validation of Specified Quantity in Input Produces an Unrecoverable State in CLFS.sys Causing a BSoD(Fortra)
注2:Denial of Service in CLFS.sys(Fortra)
注3:CVE-2024-6768 Detail(NIST)
注4:KeBugCheckEx function (wdm.h)(Learn Microsoft)
注5:Denial of Service in CLFS.sys(Fortra)
注6:Microsoft Security Servicing Criteria for Windows(Microsoft)
注7:CrowdStrike blames mismatch in Falcon sensor update for global IT outage(Cybersecurity Dive)
注8:Microsoft confirms Azure, 365 outage linked to DDoS attack(Cybersecurity Dive)
© Industry Dive. All rights reserved.
関連記事
CrowdStrikeのWindows停止事件 どのような経緯をたどったのか
CrowdStrikeのソフトウェアアップデートに欠陥があったため、世界中のWindowsが影響を受けた。問題が発生した直後には何が起こったのだろうか。振り返ってみよう。
Microsoftは「Azure」をサイバー攻撃から守れているのか
Microsoft AzureがDDoS攻撃に遭い、サービスが停止した。Microsoftはうまく攻撃に対応できたのだろうか。
盗まれたMicrosoft幹部のメール サイバー攻撃者はどうやって防壁を破ったのか?
厳重なセキュリティに守られているはずのMicrosoftがサイバー攻撃を受けて、個人情報が流出した。何が起こったのだろうか。