これらの脆弱性のうち 2 件がアクティブな攻撃を受けています。そのうちの1つは、重要ななりすましの脆弱性()です。これは、サポートされている Windows システムとサポートされていない Windows システムのほとんど、特に Windows 7、Windows 8.1、Windows 10、およびいくつかのサーバー バージョンの Windows に影響を与えます。この脆弱性により、攻撃者は不適切な署名を受けるファイルを読み込むことができます。基本的に、攻撃者はファイルをロードし、Windowsを騙して信頼できるソースから正当なファイルとして取得することができます。これにより、攻撃者は、不適切な署名を行ったファイルが最初に読み込まれるのを防ぐためのセキュリティ機能を悪用し、バイパスすることができます。
この脆弱性は公に知られており、マイクロソフトは、同社でさえ2018年以来それを知っていたことを認めています!同社はすでにバグと悪用を検出していましたが、何らかの理由でセキュリティパッチをリリースするのに約2年かかりました。
マイクロソフトが 2020 年 8 月ではなく 2018 年にこのセキュリティ修正プログラムをリリースした場合、Windows 7 を搭載したすべてのデバイスが修正プログラムを受け取ったでしょう。ただし、Windows 7 のサポートが 2020 年 1 月に終了したため、攻撃にさらされ、セキュリティ更新プログラムを受け取ることができなくなりました。だから、Windows 7を搭載した古いデバイスはすべて公開されたままであり、それは起こるかなり悲しいことです。
ベルナルド・キンテロ、VirusTotalのマネージャーは、この脆弱性を発見し、マイクロソフトにそれを報告していた。同社は、セキュリティ研究者が許可されていたが、当時のWindowsの現在のバージョンで問題を解決しないことを決定しました.
KZen Networksの創設者でもある別のセキュリティ研究者であるTal Be’eryは、マイクロソフトが2018年夏にこの脆弱性について知っていたと主張しています。このバグが長い間悪用されていたことを知っていたにもかかわらず、マイクロソフトはその時点でそれを修正するために何もしなかったのは不思議です。
マイクロソフトがそれについて質問されたとき、それは良い2年間のセキュリティパッチを提供することについて怠惰である論理的な理由を答えることを避けました!
現在でも、この脆弱性は「重要」としてのみ評価されており、Ivantiのセキュリティ担当シニアプロダクトマネージャーであるトッド・シェル氏によると、大きな控えめな表現です。
シェルは、この脆弱性は、積極的に悪用されているが、共通脆弱性スコアリングシステム(CVSSv3)によって与えられたベーススコア5.3を有すると述べています。優先順位付けが優先項目を見逃す例を次に示します。シェル氏は、一定以上のCVSSスコアには、一般に公開され悪用された脆弱性をキャッチするための他の指標が必要であると述べています。