Windows 7と8.1に特権昇格の問題 - Google Project Zeroが公表

Googleは3月23日(米国時間)、「Issue 222 - google-security-research - Windows: Local WebDAV NTLM Reflection Elevation of Privilege - Google Security Research - Google Project Hosting」において、Windows 7およびWindows 8系のデフォルト設定では、WebDAV経由でNTLMリフレクション攻撃を実施することで特権昇格が実行できるという脆弱性が存在すると伝えた。この問題は2014年12月にMicrosoft側に報告されていたが、90日間の猶予期間を持ってその詳細が公開された。

公開時点では、Microsoftは互換性の観点などからこの指摘を脆弱性として修正する問題とはとらえていないものと見られる。この問題を回避する方法はいくつか存在しており、手引きに従って対応を取ることが勧められている。

しかし、すべてのユーザが簡単に回避策を実施できるとは言い難く、実質的には対策を行わないユーザーが多いことが予想される。

今後、この情報をもとに脆弱性を悪用するマルウェアが作られたり、悪意ある行為が行われるおそれがあり、実害が検知された場合はMicrosoftからセキュリティパッチが提供される可能性もある。今後の動向に注意し、追加の情報などが発表された場合は迅速に対応することが望まれる。