「Windows Server 2012/R2」にゼロデイ脆弱性 ～0patchが警告、独自パッチを配信

0patchの公式ブログ

　スロベニアのセキュリティベンダー0patchは11月28日（現地時間）、「Windows Server 2012」「Windows Server 2012 R2」でこれまで知られていなかったゼロデイ脆弱性を発見したことを明らかにした。特定の種類のファイルで「Mark of the Web」によるセキュリティを回避できてしまうという。CVE番号は割り当てられていない。

　「Mark of the Web」（MOTOW）はNTFSファイルシステムに含まれる機能のひとつ「代替データストリーム」（Alternate Data Streams：ADS）を活用したファイルのメタデータで、インターネットから入手したファイルに付けられる。「MOTOW」のあるファイルは出所の怪しい、信頼できないデータとして扱われ、自動実行の禁止などの措置がとられることがある。たとえば、信頼できないWebサイトからダウンロードした「Excel」マクロの実行をブロックするセキュリティ機能は、この「MOTW」の有無を参照する。

　「MOTW」が正常に付与されなかったり、ついていてもチェックを迂回できてしまうと、細工の施された実行ファイルやマクロがシステムにダメージを与える可能性がある。

　同社はすでにこの問題をMicrosoftに報告済み。悪意のある悪用を防ぐため、Microsoftによる対策が実施されるまで詳細は伏せられるが、心配であれば同社が独自に発行したマイクロパッチが利用できる。

　なお、「Windows Server 2012」「Windows Server 2012 R2」はすでに2023年10月10日に一般向けのサポートを終了している。セキュリティパッチの供給を受けるには、有償の拡張セキュリティ更新プログラム（ESU）に入るか、「0patch」のようなサードパーティーソリューションを導入するほかない。パッチが未適用の状態で運用を継続するのはリスクが大きく、後継OSへの早期移行が望まれる。