CVE-2019-0797:ゼロデイ脆弱性が新たに見つかる

当社のプロアクティブ技術が、APT攻撃に悪用されていた Windows 脆弱性を新たに検知しました。

前回に引き続き、当社のプロアクティブ技術は、Windowsに対する新たなエクスプロイトを検知しました。今回の脆弱性は、64ビット版のWindows 8〜Windows 10(ビルド15063)に影響します。本件はMicrosoftに報告済みであり、この脆弱性に対するセキュリティパッチを含むシステム更新が3月12日にリリースされました。

現在有効なバージョンのOS更新が継続的にリリースされているにも関わらず、多くの人が自分のコンピューターの操作に不具合が出ることを恐れて更新をすぐにはインストールしていないようです。この「他の人がやってみてどうなったか見てからにしよう」という姿勢は、お勧めできません。

CVE-2019-0797について

当社のシステムが検知した特権昇格の権限は、最近のものでこれが4つ目となります。前回発見した CVE-2018-8589の場合と同様に、今回の脆弱性もwin32k.sysドライバーのレースコンディションエラーでした(技術的詳細はSecurelistの記事をご覧ください。英語記事です)。この脆弱性を利用する標的型攻撃は複数観測されており、攻撃が成功すると脆弱性を持つシステムが完全に制御されてしまう可能性があります。

安全を守るために

お伝えする対策は、いつものように基本的なものです。

  • Microsoftのセキュリティ更新プログラムを速やかにインストールする。プログラムの詳細はこちらをご覧ください
  • ソフトウェア(特にOS)は常に最新バージョンに更新する。サポート期間が終了したものについては、できれば乗り換えを検討してください。
  • ふるまい検知機能を備えたセキュリティ製品を使用する。

カスペルスキー製品は、このエクスプロイトを以下の検知名で検知およびブロックします。

  • HEUR:Exploit.Win32.Generic
  • HEUR:Trojan.Win32.Generic
  • PDM:Exploit.Win32.Generic

今回のエクスプロイトの検知に使用されたテクノロジー(高度なサンドボックス機能、標的型攻撃対策機能、ふるまい検知エンジン、脆弱性攻撃ブロック)は、当社の法人向け製品Kaspersky Security for Businessに搭載されています。

※2019年4月17日更新:Securelistへのハイパーリンクを修正し、検知名を追加しました。

ヒント