Kaspersky Lab、未知のサイバー犯罪組織に悪用されたWindows OSのゼロデイ脆弱性を発見
PR TIMES / 2019年4月19日 13時40分
Kaspersky Labの自動化テクノロジーは、Microsoft Windowsの新たなゼロデイ脆弱性を検知しました。この脆弱性は、標的のデバイスを完全に制御しようと試みた正体不明のサイバー犯罪組織によって悪用されていました。攻撃者は、バックドアを経由してシステムの中核であるカーネルを狙っていました。Kaspersky Labはこの「CVE-2019-0859」脆弱性をMicrosoftに報告し、Microsoftはパッチをリリースしました。
(https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2019-0859)
バックドアは極めて危険なタイプのマルウェアです。バックドアの使用により、サイバー犯罪組織は、気付かれることなく悪意ある目的のために感染したマシンを制御できます。このように第三者が権限を昇格すると、通常はセキュリティ製品によって検知されてしまいますが、ゼロデイ脆弱性を悪用するバックドアは、発見・修正前のシステムのバグであるため、より高い確率で検知を逃れることができます。従来型のセキュリティソリューションでは、システムの感染を把握することも、まだ検知されていない脅威からユーザーを保護することも難しい状況です。
しかしながら、カスペルスキー製品に搭載されている脆弱性攻撃ブロック機能は、Microsoft Windows OSの未知の脆弱性を悪用しようと試みた攻撃を検知しました。検知した攻撃のシナリオは次のとおりです。まず、悪意のある.exeファイルを起動すると、マルウェアのインストールが始まります。そしてゼロデイ脆弱性を悪用し、標的のマシンでの継続的な活動を可能にする権限を得ます。次にマルウェアは、Windows OSに標準で搭載されているWindows PowerShellを使用してバックドアを起動します。これによりサイバー犯罪組織は、セキュリティ製品による検知を逃れることができるため、悪意のあるツールのコードを記述する時間を節約できます。その後マルウェアが、実在するテキストデータのストレージサービスから別のバックドアをダウンロードすると、犯罪組織は感染したシステムを完全に制御できるようになります。
Kaspersky Labのセキュリティエキスパート、アントン・イワノフ(Anton Ivanov)は次のように述べています。「この攻撃では、APT攻撃で観測される2つの傾向が確認されました。1つ目は、標的のマシンで持続的に活動できるようにするローカル権限昇格エクスプロイトの使用です。2つ目は、標的のマシンで悪意のあるアクティビティを実行するため、Windows PowerShellといった正規のフレームワークの使用です。これらを組み合わせることで、サイバー犯罪組織は標準的なセキュリティソリューションをすり抜けることができるようになります。このような技術を検知するには、セキュリティソリューションは脆弱性攻撃ブロック機能と振る舞い検知エンジンを使用する必要があります」
カスペルスキー製品では、このエクスプロイトを以下の検知名で検知・ブロックします。
・ HEUR:Exploit.Win32.Generic
・ HEUR:Trojan.Win32.Generic
・ PDM:Exploit.Win32.Generic
Windowsのゼロデイ脆弱性からバックドアがインストールされないようにするために、次のことを推奨します。
・ サイバー犯罪組織による脆弱性の悪用を防ぐため、新たな脆弱性に対するMicrosoftのパッチをできる限り早急にインストールする
・ 新たなセキュリティパッチがリリースされ次第、すべてのソフトウェアを確実にアップデートする。また、使用しているソフトウェアの自動更新を有効にし、常に最新版に更新されていることを確認する。あわせて、脆弱性評価やパッチ管理機能を備えたセキュリティ製品を使用する
・ 未知の脅威からユーザーを保護する振る舞いベースの検知機能を備えたセキュリティ製品を使用する
・ セキュリティチームが最新のサイバー脅威インテリジェンスにアクセスできるようにする
・ 従業員がサイバーセキュリティの基本的な予防策を習得していることを確認する
■当エクスプロイト(CVE-2019-0859)の攻撃について詳しくは、Securelistブログ「New zero-day vulnerability CVE-2019-0859 in win32k.sys」(英語)をご覧ください。
https://securelist.com/new-win32k-zero-day-cve-2019-0859/90435/
■ Kaspersky Lab について
Kaspersky Labは、IT上の脅威から世界を守る「Save the World from IT threats」をミッションとするITセキュリティソリューションベンダーです。1997年の設立以来、ITセキュリティ市場におけるテクノロジーリーダーとして、大企業から個人ユーザーまで幅広いお客様に効果的なセキュリティソリューションを提供しています。また、サイバー犯罪の撲滅を目指し、インターポールをはじめとする世界中の法執行機関に対して、脅威インテリジェンスの提供や捜査への協力を積極的に行っています。事業展開は200の国と地域にわたり、ユーザーは全世界で4億人を数えます。
[画像: https://prtimes.jp/i/11471/127/resize/d11471-127-660530-0.jpg ]
企業プレスリリース詳細へ
PR TIMESトップへ
この記事に関連するニュース
-
Vectra AI, Midnight Blizzardからの攻撃・脅威を防御するためにセキュリティ担当者が確認すべき8つのポイントを発表
PR TIMES / 2024年4月26日 17時40分
-
チェック・ポイント・リサーチ、2024年3月に最も活発だったマルウェアを発表 Remcosの新たな展開手法を発見、国内ではFormbookが引き続き首位に
PR TIMES / 2024年4月16日 16時15分
-
圧縮ツールxzに仕掛けられたバックドア、その巧妙な手口が明らかに
マイナビニュース / 2024年4月15日 11時23分
-
Windowsのゼロデイ脆弱性、悪用確認済み2件に注意 - アップデートを
マイナビニュース / 2024年4月15日 7時28分
-
ダークトレース、プロアクティブなセキュリティ運用を独自のAIで実現する新プラットフォーム Darktrace ActiveAI Security Platform(TM)を発表
@Press / 2024年4月12日 10時0分
ランキング
-
1突然現場に現れて「良案」を言い出す上司の弊害 「気になったら即座に直したい」欲求への抗い方
東洋経済オンライン / 2024年4月26日 9時0分
-
2なぜ歯磨き粉はミント味? ヒット商品の誕生には「無駄」が必要なワケ
ITmedia ビジネスオンライン / 2024年4月26日 8時0分
-
3濃口醤油と淡口醤油、塩分が高いのはどっち?…醤油の「色の濃さ」と「味の濃さ」の知られざる関係
プレジデントオンライン / 2024年4月26日 8時15分
-
4「加賀屋」50歳の元若女将が選んだ"第2の人生" 震災からの復興への道、仕事術について聞く
東洋経済オンライン / 2024年4月26日 13時0分
-
5円安、物価上昇通じて賃金に波及するリスクに警戒感=植田日銀総裁
ロイター / 2024年4月26日 18時5分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください