パスワードを忘れた? アカウント作成

Microsoft の報奨金プログラムに不満なセキュリティリサーチャー、Windowsのゼロデイ脆弱性の PoC を公開」記事へのコメント

  • こういう金貰えないからってごねてゼロデイ公表しちゃうクソ迷惑な研究者よくいるけど、
    これのせいで被害にあった人達から訴えられればいいのになあ

    • 記事も読まずに文句言ってる君のほうがよっぽどクズだよ。

      元記事には次のように書いてる。

      Naceri said he does not believe his exploit could be chained with other flaws to create something on the scale of a remote takeover attack, so for now the vulnerability would require the attacker to already have a local user account on the targeted machine.

      つまり「これのせいで被害にあった人達」が出ないようちゃんと配慮している。「クソ迷惑」とか「訴えられればいい」と言ってる君のほうが有害。話にならない。どうか二度とコメントを書き込まないでほしい。

      • by Anonymous Coward on 2021年11月28日 17時17分 (#4160066)

        英語だから半可通は分からないと思って適当ぶっこいてんじゃねーぞ!

        Naceri氏は、今回の脆弱性が他の欠陥と結びついて、リモート・テイクオーバー攻撃のような規模のものになるとは思わないと述べています。今のところ、この脆弱性を利用するには、攻撃者が対象となるマシンのローカルユーザーアカウントをすでに持っている必要があります。(DeepL翻訳)

        これは「ちゃんと配慮している」とは言わない。何の配慮もせず公開したあとに、当の研究者が「別に大したことにはならないと思う」と一方的に主張しているだけ。
        実際には攻撃者が脆弱性に価値を感じてエクスプロイトの作成を進めている。被害者が発生したらこいつの責任であることには変わりない。
        Microsoftには脆弱性の影響を殊更アピールして報奨金の少なさに文句を言いながら、一方では責任逃れのために影響は少ないと言い出す二枚舌野郎だよ。

        だいたい「記事も読まず」って言うけど、その文章、ストーリーからリンクされている記事の中には書いてないよな?
        ググったらSearchSecurity [techtarget.com]のインタビューの一部のようだけど、そこではこう続いている。

        However, getting that access could be as simple as phishing an end user for their account credentials.

        しかし、そのようなアクセスを得るためには、エンドユーザーをフィッシングしてアカウントの認証情報を得るという単純な方法があります。(DeepL翻訳)

        引用元も示さず、自分に都合の悪い文章は削ぎ落として提示するクズ野郎はどうか二度とコメントを書き込まないでほしい。

        • by Anonymous Coward

          +1
          脆弱性は他の攻撃との組み合わせで利用するなんて常識を専門家が知らないはずはない。
          この専門家の言い訳が言い訳になってると思うやつはセキュリティの知識がないことを告白しているも同じ。

        • by Anonymous Coward

          >エンドユーザーをフィッシングしてアカウントの認証情報を得

          たら手遅れじゃねーか

          • by Anonymous Coward

            権限昇格されなければ被害はそのアカウントでとどまるけど、昇格されたらもっとひどいことになるからね。

            • by Anonymous Coward

              大抵のWindowsクライアントマシンなんて実質シングルユーザーなんだから十分悪さできるでしょ。たとえばランサムウェア仕込むんだったら別に昇格できる必要ないよね。

              そうでなくてもフィッシングすること前提なら管理者権限持ってるアカウントをフィッシングすればよろし。

              • by Anonymous Coward

                権限昇格攻撃と防御に関する解説 [bs-square.jp]

                BlueKeep、WannaCry、NotPetyaなど、最近あった最も悲惨なエクスプロイトの多くは、権限昇格の脆弱性(垂直方向の権限昇格を許可する)が原因です。

                Microsoft Vulnerability Report 2021(BeyondTrust発行)では、Microsoftの過去5年に渡る深刻な脆弱性の56パーセントは、管理者権限ではなく標準ユーザの権限にしておくことで軽減されたということがわかりました。

                はい論破

              • by Anonymous Coward

                君はただ権限昇格の必要がないケースを列挙しているだけだよね

                マルチユーザーのWindowsクライアントマシンが侵害されてもいいの?
                ネットワークを通じて横展開されてもいいの?
                WindwosサーバやAD環境は?

                いいわけないでしょ

              • by Anonymous Coward

                その記事本当にあてになる?

                Bluekeepは権限昇格が主な問題じゃないしWannaCryとNotPetyaに関しては複数ある拡散手段の一つにしか見えないけど

          • by Anonymous Coward

            どうしてWindowsにユーザーアカウント制御(UAC)機構があると思ってるんですか

            • by Anonymous Coward

              UACはキンタマもランサムウェアも防げなかったよ。

              • by Anonymous Coward

                キンタマウイルスが流行したのはWindowsVista発売前、つまりUACがなかった頃なんだが?

              • by Anonymous Coward

                脊髄反射はいいからUACの仕組み的に防げたと思うかどうかを語ってよ

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

処理中...