マイクロソフトは最近、新しいWindows 10機能の更新を公開しました。 どうやら、同社はWindows 10に存在する重大なセキュリティ上の欠陥を無視していたようです。

この問題は、高度なタスクスケジューラ設定で発見されました。 この脆弱性により、ハッカーはファイルに対する完全な管理者権限を取得できます。

SandboxEscaperという名前の研究者が最初に脆弱性を発見し、オンラインで公開しました。 研究者はそれをGithubに持ち込み、プラットフォームにゼロデイ脆弱性を投稿しました。

現時点では、Microsoftはタスクスケジューラ内のセキュリティの欠陥を認めていません。 会社がバグを認めると、すぐにセキュリティパッチが利用可能になります。

驚くべきことに、Twitterユーザーは、ゼロデイ脆弱性が最近Windows 10 v1903をインストールしたWindows 10システムを標的にしていることを明らかにしました。 さらに、ユーザーは誰でも簡単にこの脆弱性を悪用できると述べました。

これは、完全にパッチが適用された（2019年5月）Windows 10 x86システムでそのまま動作することを確認できます。 以前はSYSTEMおよびTrustedInstallerのみによって完全に制御されていたファイルが、制限付きWindowsユーザーによって完全に制御されるようになりました。

迅速に動作し、テストでは100％の時間。 pic.twitter.com/5C73UzRqQk

-ウィル・ドーマン（@wdormann）2019年5月21日

SandboxEscaperは、概念実証（POC）攻撃を示すビデオもリリースしました。

SandboxEscaperは、このビデオとWindows 10 priv escのPOCをリリースしましたpic.twitter.com/IZZzVFOBZc

-チェイス・ダーダマン（@CharlesDardaman）2019年5月21日

特に、研究者はさらに、Windows 10 OSの4つの追加の欠陥を特定したと主張しています。 これらの脆弱性の1つにより、悪用者はサンドボックスのセキュリティをバイパスできます。 マイクロソフトは、何らかの重大な損害を引き起こす前に、迅速に対応し、この脆弱性にパッチを適用する必要があります。

SandboxEscaperは以前、ゼロデイ脆弱性をいくつか発見していました。 ただし、ユーザーは問題をリリースする前にマイクロソフトに通知しませんでした。

Redditユーザーは、まず問題についてマイクロソフトに通知することを望んでいました。

怖い！ 彼女が公開した理由はありますか？ 彼女が少なくともマイクロソフトに通知して、彼らにチャンスを与えることを望みます。 少なくともこれらは単なるLPEです。

最近の脆弱性に関する限り、マイクロソフトは火曜日に必要なパッチをリリースする予定です。