カーネルトランザクションマネージャーに見つかった脆弱性

Kaspersky Labのプロアクティブ技術により、ゼロデイ脆弱性CVE-2018-8611が検知されました。Microsoftより更新プログラムがリリースされています。

サイバー犯罪者によるWindowsの負荷テストが続いています。過去3か月の間、当社の保護技術は複数回にわたってその試みを検知し、悪用を防いできました。当社のシステムが今回検知したのは、Windowsのカーネルトランザクションマネージャーの脆弱性を悪用しようとする試みです。

この新たなゼロデイエクスプロイトを使った攻撃は、中東およびアジアで複数観測されました。悪用された脆弱性(CVE-2018-8611)は、Windowsカーネルがメモリ内のオブジェクトを適切に処理できなかった場合に特権の昇格を許します。このため、悪意を持つ者がカーネルモードで任意のコードを実行する可能性があります。

現実に可能となるのは、プログラムのインストール、データの変更、データの閲覧、さらには新規アカウントの作成です。当社のエキスパートは、Google ChromeやMicrosoft Edgeなど最近のWebブラウザーに搭載されているサンドボックス機能を回避するのにも、このエクスプロイトを利用可能であると指摘しています。技術的な詳細は、Securelistの記事(英語)をご覧ください。当社の脅威インテリジェンスレポートをご契約の場合、CVE-2018-8611に関するさらに詳しい情報と、CVE-2018-8611の悪用を試みる攻撃者に関する情報をご覧いただくことができます。本サービスについては、jp-sales@kaspersky.comまでお問い合わせください。

当社はこの脆弱性をMicrosoftへ報告し、Windowsカーネルがメモリ内のオブジェクトを処理する方法を修正する更新プログラムがMicrosoftより先日公開されました。

安全を守るために

お伝えする対策は、いつものように基本的なものです。以下をご確認ください。

  • 現時点で被害者がほとんどいないからといって、安心してしまわないようにする。脆弱性が公開されたので、より多くのサイバー犯罪者が悪用を試みる可能性があります。更新プログラムは速やかに適用しましょう
  • 社内で使用しているソフトウェアを、定期的に最新バージョンに更新する。
  • 脆弱性評価やパッチ管理の機能を備えたセキュリティ製品を使用して、更新プロセスを自動化する。
  • ふるまい検知機能を備えた堅牢なセキュリティ製品を使用して、ゼロデイエクスプロイトなど未知の脅威からの保護を講じる。

カスペルスキー製品は、このエクスプロイトを以下の検知名で検知およびブロックします。

  • HEUR:Exploit.Win32.Generic
  • HEUR:Trojan.Win32.Generic
  • PDM:Exploit.Win32.Generic

この脆弱性は当社のプロアクティブ技術によって検知されましたが、検知前はどこにも知られていない未知のものでした。企業の安全を守るには、プロアクティブに脅威を検知して阻止することが重要です。

Kaspersky Anti Targeted Attack Platformは、APTの脅威からの保護に特化したソリューションで、高度なサンドボックス機能とアンチマルウェアエンジンを備えています。また、Kaspersky Endpoint Security for Businessは、エクスプロイトを自動ブロックする技術が搭載されています。脆弱性CVE-2018-8611を検知したのは、この技術でした。

※2019年4月17日更新:検知名を追加しました。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?