Surface Pro X のカメラが使用できなくなる問題について、Microsoft が回避策を提供している (Microsoft Learn の記事、 The Verge の記事、 Ars Technica の記事、 On MSFT の記事)。

この問題は Surface Pro X に限らず、特定の ARM ベースプロセッサーを搭載する Windows デバイスの内蔵カメラ全般に影響する問題だという。影響を受けるプロセッサーは Qualcomm 8cx Gen 1 / Gen 2 および Microsoft SQ1 / SQ2。USB 接続のカメラには影響しない。

Microsoft はこの問題に対応するトラブルシューティングツールをデプロイしており、自動で修正が実行される。トラブルシューティングツールを手動実行することはできず、実行されたかどうかはトラブルシューティング履歴で確認できる。適用される修正は一部の機能を無効化したり、画像品質を低下させたりしてカメラが機能できるようにするもので、本格的な問題解決にはドライバーの更新が必要になるという。

組織によりトラブルシューティングツールの実行が無効化されたマネージドデバイスや、自動実行を待たずに修正を行いたい人向けにはレジストリに直接修正を行う手順も紹介されている。具体的には HKLM\SYSTEM\CurrentControlSet\Control\Qualcomm\Camera で DWORD値「EnableQCOMFD」の値のデータを「0」にするというものだ。この修正は問題が発生している場合にのみ実施すべきとのこと。

Microsoft はデバイスメーカー (OEM) やドライバーパートナーと協力してドライバーの開発を進めているとのことだ。

すべて読む | ITセクション | マイクロソフト | バグ | Windows | IT |

関連ストーリー：
Surface Pro X、カメラが使用できなくなる 2023年05月27日

マルウェア QBot (QakBot、QuackBot などとも) が Windows 10 の「write.exe」を悪用したフィッシングキャンペーンを実行していたそうだ (BleepingComputer の記事、 Ghacks の記事)。

write.exe はワードパッドに置き換えられた Microsoft Write との互換性を維持するために用意されている実行ファイルで、実行時に読み込まれる edputil.dll を DLL ハイジャックにより置き換えることが可能だという。ただし、write.exe は Windows ディレクトリおよび System32 ディレクトリに格納されており、edputil.dll は System32 ディレクトリに格納されているため通常は置き換え不可能だ。

そのため、QBot ではダウンロードさせる ZIP ファイルに「document.exe」とリネームした Windows 10 の write.exe と偽の edputil.dll を格納することで、DLL ハイジャックを実現している。document.exe を実行すると偽の DLL が読み込まれ、curl.exe を使用してリモートホストから PNG ファイルをダウンロードする。このファイルは PNG に偽装したDLLであり、rundll32.exe を使用して実行することで QBot が常駐するという仕組みだ。

実際に効果があるかどうかは不明だが、QBot 運用者は write.exe のような信頼された実行ファイルを通じてマルウェアを起動することで、セキュリティソフトウェアに検知されにくくなることを期待しているとみられる。なお、Windows 11 の write.exe でも同様の動作になる可能性はあるが、Windows 11 版の write.exe は Windows 10 上で実行できない。また、curl.exe は Windows 10 以降にしか搭載されていないため、ターゲットは Windows 10 以降となる。

すべて読む | セキュリティセクション | セキュリティ | Windows |

関連ストーリー：
ChatGPTでランサムウエアを作成できる方法が存在する 2023年04月25日
Googleドライブで不適切ファイルの取締が開始。不適切ファイルの具体像は不明 2021年12月27日
政府、次期サイバーセキュリティ戦略で中国とロシア、北朝鮮を脅威として明記 2021年09月28日