ESETは11月2日(米国時間)、同社が運営するセキュリティ情報サイトのWeLiveSecurityの記事「Google discloses Windows zero‑day bug exploited in the wild|WeLiveSecurity」において、Windowsについて、攻撃で悪用されている新たな脆弱性が報告されていると伝えた。

この報告はProject Zeroと呼ばれるGoogleのセキュリティ調査チームによって行われたもの。Project Zeroによると、Windowsのカーネル暗号化ドライバに特権昇格に悪用可能な脆弱性が存在し、既にこれを悪用した攻撃も確認されているが、現時点では修正パッチはリリースされていないという。

  • Google discloses Windows zero‑day bug exploited in the wild|WeLiveSecurity

    Google discloses Windows zero‑day bug exploited in the wild | WeLiveSecurity

この脆弱性は「CVE-2020-17087」として報告されており、Windowsカーネル暗号化ドライバ(cng.sys)のメモリ破損の欠陥に起因して、サンドボックスエスケープなどの特権昇格攻撃に悪用できるものだという。攻撃に成功すると、攻撃者は対象のマシンに不正にアクセスすることが可能になる。Windows 7からWindows 10までのすべてのバージョンが影響を受ける可能性があるとのことだ。

この脆弱性に対する修正は、2020年11月10日(米国時間)にリリースが予定されている月例セキュリティパッチに含まれることが期待されている。逆に言えば、それまでは修正パッチが公開されない可能性が高いため、注意が必要だ。

なお、この脆弱性は現在行われている米国大統領選挙とは無関係だと考えられているとのことだ。