Googleは10月31日、ローカルでの特権昇格が可能となるWindowsカーネルのゼロデイ脆弱性を公表した。Microsoftでは11月8日にパッチの提供開始を予定しており、それを待たずに脆弱性を公表したGoogleを批判している(Google Security Blogの記事、 Microsoft Malware Protection Centerのブログ記事、 The Guardianの記事、 Ars Technicaの記事)。

脆弱性はwin32k.sysに存在するもので、サンドボックス迂回が可能になる。Googleではこの脆弱性とFlash Playerの脆弱性を組み合わせたスピア型フィッシングキャンペーンを検出し、10月21日にMicrosoftとAdobeへ通知している。MicrosoftはGoogleおよびAdobeと協力して攻撃キャンペーンの調査やパッチの作成を進めており、Adobeは脆弱性(APSB16-36)に対処するFlash Playerの更新プログラムを10月26日に公開した。しかし、GoogleはWindowsの更新プログラム提供開始を前に、通知から7日以上経過したとして脆弱性を公表してしまう。Googleでは既に攻撃が確認されている脆弱性について、開発元への通知から7日経過後もアドバイザリーやパッチが公開されていなければ公表するというポリシーを設定している。

確認されている攻撃は、MicrosoftがSTRONTIUMと呼ぶグループが行っているもので、初めにFlashの脆弱性を悪用してブラウザープロセスの制御を奪う必要がある。そのため、攻撃はFlashを最新版に更新することで攻撃は回避できるようだ。STRONTIUMはATP28やFancy Bearなどとも呼ばれ、米民主党全国委員会(DNC)へのサイバー攻撃を行ったグループとみられている。

今回公表されたwin32k.sysの脆弱性はWindows Vista～Windows 10まで存在するが、Windows 10 Anniversary Updateではwin32kカーネルコンポーネントに攻撃を緩和する対策が追加されており、Microsoft Edgeを使用する場合は攻撃から保護されるという。Anniversary Updateで企業向けに提供されるWindows Defender ATPでも攻撃を検出可能だ。また、Windows 10上のGoogle Chromeでは、Win32k Renderer lockdownにより、win32k.sysのシステムコールをブロックしてサンドボックス迂回を防止できるようになっているとのことだ。