1か月前、Microsoft Windowsの脆弱性を悪用するエクスプロイトの発見についてご報告しましたが、このたび、当社のプロアクティブ技術が別のゼロデイエクスプロイトを発見しました。前回と同様、OSのまだ発見されていない脆弱性を突くもので、今回影響を受けるのはWindows 7およびWindows Server 2008です。
影響を受けるOSは限られていますが、危険性がそれで軽減されるわけではありません。Windows Server 2008のサポート(延長サポートを除く)は2015年1月に終了し、Windows 7の利用者に対してはWindows 10のリリース時に無償アップグレードが提供されましたが、切り替えやアップグレードが済んでいない利用者も残っています。両OSに対するサポートとセキュリティ更新プログラムの提供は、今でも継続されています(2020年1月14日に終了)。
当社はこのエクスプロイトを10月下旬に検知し、該当の脆弱性を概念実証と共にMicrosoftへただちに報告しました。対応するパッチは、11月13日にMicrosoftより速やかに提供されています。
この脆弱性および対応するエクスプロイトについて
このゼロデイ脆弱性は、win32k.sysに存在する「特権の昇格」の脆弱性です。この脆弱性を利用することにより、攻撃者は攻撃対象システム内に留まり続けるために必要な権限を獲得可能です。
この脆弱性を突くエクスプロイトは、主に中東地域での複数のAPT攻撃で使用されていました。攻撃対象となっていたのは、32ビット版Windows 7 のみでした。技術的詳細については、Securelistの記事(英語)をご覧ください。
安全を守るために
お伝えする対策は前回とほぼ変わりませんが、今一度ご確認ください。
- Microsoftのセキュリティ更新プログラムを速やかにインストールする。
- 社内で使用しているソフトウェアを、定期的に最新バージョンに更新する。
- サポート終了が近づいているソフトウェアは、サポート終了までに使用を停止する。
- 脆弱性評価やパッチ管理の機能を備えたセキュリティ製品を使用して、更新プロセスを自動化する。
- ふるまい検知機能を備えた堅牢なセキュリティ製品を使用して、ゼロデイエクスプロイトなど未知の脅威からの保護を講じる。
カスペルスキー製品は、このエクスプロイトを以下の検知名で検知およびブロックします。
- HEUR:Exploit.Win32.Generic
- HEUR:Trojan.Win32.Generic
- PDM:Exploit.Win32.Generic
今回のゼロデイ脆弱性を狙ったエクスプロイトの検知には、当社のプロアクティブ技術が関わっています。Kaspersky Anti Targeted Attack Platform(APT攻撃からの保護に特化したソリューション)に搭載されている高度なサンドボックス機能(Advanced Sandboxing)およびアンチマルウェアエンジン、そして、Kaspersky Endpoint Security for Businessの不可欠なサブシステムである脆弱性攻撃ブロックです。
※2019年4月17日更新:検知名を追加しました。