Googleのお抱えハッカーがWindowsのバグを発見、深刻度は低いがサービス拒否状態に陥る恐れあり

2019年6月13日 15時0分

By turalmammadzada

Windowsの暗号ライブラリ「SymCrypt」のバグ情報がハッカーによってTwitterで公開されました。このハッカー、タヴィス・オーマンディさんはGoogle所属のホワイトハッカーで、事前にMicrosoftにバグ発見を報告していました。しかし、Microsoftから返答のあった期日までに対応が行われなかったため、情報の公開に踏み切ったとのこと。

1804: cryptoapi: SymCrypt modular inverse algorithm

https://bugs.chromium.org/p/project-zero/issues/detail?id=1804

SymCrypt Bug Would Let Attacker "Take Down Entire Windows Fleet"

https://www.cbronline.com/news/symcrypt-bug

Flaw in SymCrypt Can Trigger DDoS - Infosecurity Magazine

https://www.infosecurity-magazine.com/news/flaw-in-symcrypt-can-trigger-ddos-1-1/

オーマンディさんが指摘したバグは、Windows上の全ての暗号化をつかさどる暗号ライブラリSymCryptを活用するプロトコルなどで無限ループを強制的に発生させるというものです。S/MIME、authenticode、IPsec、IISなどはSymCryptによる暗号化を使用しているので、VPNやMicrosoft Exchange Serverを実行しようとしたタイミングで、発見された脆弱性を使ってデッドロックに陥らせてサービス拒否(DoS)状態に陥らせることが可能とのこと。

オーマンディさんはこの「比較的深刻度が低い」というバグをMicrosoftに報告。報告を受けてMicrosoftは90日以内に修正することをオーマンディさんに約束しましたが、期日までに修正が行われなかったため、オーマンディさんはバグの情報をTwitterで発表しました。

I noticed a bug in SymCrypt, the core library that handles all crypto on Windows. It's a DoS, but this means basically anything that does crypto in Windows can be deadlocked (s/mime, authenticode, ipsec, iis, everything). Microsoft committed to fixing it in 90 days, then didn't.— Tavis Ormandy (@taviso) June 11, 2019

Microsoftの広報担当者はInfosecurity Magazineに対して「Microsoftは報告されたバグにできる限り早く対処するよう責任を持って取り組んでいます。もちろん期限に間に合うように全力を尽くしていますが、無理やり期限に間に合わせると悪影響が出てしまいます。セキュリティアップデートの開発は速度と正確性のバランスを求められるデリケートな作業です。バグの影響をできる限り少なくしながら、できる限り多くのPCのセキュリティを保護することを目標としています」とメールで回答しています。なお、オーマンディさんによるとこのバグは「比較的深刻度が低い」とのことです。