CVE-2019-0859:Windowsの新たな脆弱性

2019年4月19日

3月初旬、当社のプロアクティブ技術はMicrosoft Windowsに対する新たなエクスプロイトの試みを検知しました。解析によってwin32k.sysの脆弱性が明らかになりましたが、win32k.sysについては、これまでにも同様の脆弱性4件が発見されています。本件はMicrosoftに報告済みであり、この脆弱性に対するパッチは4月10日にリリースされました。

CVE-2019-0859について

CVE-2019-0859は、Windowsのダイアログウィンドウ(より正確には、拡張ウィンドウスタイル)を処理するシステム関数における解放済みメモリ使用(Use-After-Free)の脆弱性です。この脆弱性に対するエクスプロイトはすでに実環境で見つかっており、64ビット版のWindows (Windows 7~Windows 10の最新ビルド)を標的としていました。この脆弱性を悪用することで、マルウェアは攻撃者が記述したスクリプトをダウンロードして実行可能となります。最悪の場合、感染したコンピューター全体が完全に掌握されます。

未だ正体不明の攻撃者は、この脆弱性を利用して、Windows PowerShellを使ってバックドアを仕掛けるのに十分な権限を獲得していました。このため、理論的には攻撃が発見されません。このバックドアを通じて武器であるペイロードが読み込まれ、攻撃者は感染したコンピューター全体にアクセス可能になります。技術的詳細については、Securelistの記事(英語)をご覧ください。

安全を守るために

お伝えする対策は前回とほぼ変わりませんが、今一度ご確認ください。

  • まず、脆弱性を修正するために、Microsoftのセキュリティ更新を速やかにインストールする
  • 社内で使用しているソフトウェア、特にOSを、定期的に最新バージョンに更新する。
  • 有効なふるまい分析技術を備えたセキュリティ製品を使用して、未知の脅威を検知できるようにする。

カスペルスキー製品は、このエクスプロイトを以下の検知名で検知およびブロックします。

  • HEUR:Exploit.Win32.Generic
  • HEUR:Trojan.Win32.Generic
  • PDM:Exploit.Win32.Generic

CVE-2019-0859の脆弱性を悪用したエクスプロイトは、ふるまい検知エンジンおよび脆弱性攻撃ブロックテクノロジー(いずれも当社法人向け製品Kaspersky Endpoint Security for Businessに含まれる機能)を使って検知されました。

ITおよびセキュリティのご担当者向け:Microsoftのゼロデイ脆弱性の検知に貢献した当社技術について、Kaspersky Labのエキスパートがウェビナーを実施しました。録画を公開しておりますので、以下リンクよりご覧ください。

Three Windows zero-days in three months: how we found them in the wild

※ウェビナーおよびウェビナー説明は英語です。
※ウェビナーをご覧いただくには、BrightTALKへの登録が必要です。