「MoTW」(Mark-of-the-Web)属性によるセキュリティ警告を擦り抜けて不正なJavaScriptファイルが実行される脆弱性が発見された。既にランサムウェア攻撃での悪用が確認されている。
この記事は会員限定です。会員登録すると全てご覧いただけます。
インターネットからダウンロードしたファイルは、もともとシステムに存在しているファイルよりもリスクが高いと考えるのは説得力のある考え方だ。
「Windows」はこの考えに基づき、インターネットからダウンロードされたファイルに「MoTW」(Mark-of-the-Web)と呼ばれる属性を与えるセキュリティ機能が備わっている。アプリケーションはファイルのMoTW属性をチェックして挙動を変えるなどし、リスクを低減するように動作する。
コンピュータ情報サイトの「Bleeping Computer」は2022年10月22日(現地時間)、JavaScriptファイルでMoTW警告をバイパスできる手法が見つかったと伝えた。インターネットからダウンロードされたJavaScriptに警告が機能せずに実行されるリスクがあるとして注意を呼び掛けている。
Bleeping Computerが取り上げたのは、埋め込みBase64でエンコードされた署名を含むインターネットからダウンロードされたJavaScriptファイルに関するものだ。
この方式で署名されたJavaScriptファイルは、インターネットからダウンロードされてMoTW属性が付与されているにもかかわらず、セキュリティ警告を表示せずにJavaScriptを実行する。Bleeping Computerによれば、同脆弱(ぜいじゃく)性は既にランサムウェア攻撃での悪用が確認されているという。
ANALYGENCEの上級脆弱性アナリストであるウィル・ドルマン(Will Dormann)氏によれば、署名は正式なものである必要はなく不正な形式のキーで署名していても機能するという。影響が確認されているのは「Windows 10」と「Windows 11」で、Windows 11ではアーカイブから直接JavaScriptファイルを実行する場合にのみ機能すると指摘されている。
Microsoftは同脆弱性について現在調査中としており、脆弱性として認定された場合は今後どこかのタイミングでアップデートが提供される可能性がある。Microsoftから今後提供されるセキュリティ情報に気を付けるとともに、アップデートが提供された場合は内容の確認と必要に応じてアップデートを適用してほしい。
Copyright © ITmedia, Inc. All Rights Reserved.