今年5月、当社のテクノロジーが、韓国企業に対する攻撃を防ぎました。サイバー犯罪者のツールを解析していた当社エキスパートは、2つのゼロデイ脆弱性を発見しました。最初に見つかったのは、Internet Explorer 11のJavaScriptエンジン内に存在する、任意のコードのリモート実行を可能とする脆弱性です。次に見つかったのは、権限昇格と不正なアクションの実行を可能とするOSサービスの脆弱性です。
これらの脆弱性を付くエクスプロイトは、連動して機能します。まず、Internet Explorer 11の脆弱性(CVE-2020-1380)を突く悪質なスクリプトが動作し、続いてシステムサービス内の脆弱性(CVE-2020-0986)を利用して悪意あるプロセスの権限昇格が行われます。結果として、攻撃者はシステムを掌握することが可能となります。攻撃者の目的は、複数名社員のコンピューターに侵入し、組織の内部ネットワークへ侵入することでした。
当社のエキスパートは、この悪意ある活動を「Operation PowerFall」と名付けました。現時点では、この活動と既知の攻撃グループとの明らかな関連性は見出されていません。しかしながら、過去に見つかったエクスプロイトとの類似性から、当社エキスパートはDarkHotelが関与する可能性を指摘しています。
Microsoftへ報告したところ、2番目の脆弱性(システムサービス内に見つかったもの)は同社でも把握済みであり、パッチも存在するとのことでした。しかし、この脆弱性の悪用に関しては、今回明らかになった最初の脆弱性(Internet Explorer 11に見つかったもの)について知るまでは、可能性は低いと見ていました。
CVE-2020-1380はどれほど危険なのか
この脆弱性は、Internet Explorer バージョン9以降の全バージョンに存在するjscript9.dllの脆弱性であるため、これを悪用するエクスプロイトは、Internet Explorerの新しいバージョンに対する脅威となります。「新しい」という表現は、Windows 10でEdge がリリースされて以降はInternet Explorerの開発が止まっていることを考えると、少しばかり語弊があるかもしれません。しかし、Internet Explorer はEdgeと共に現在でも最新のWindowsにデフォルト搭載されており、現在もWindowsの重要コンポーネントの一つです。
Internet Explorerを使用していない場合や既定のブラウザーにしていない場合であっても、Internet Explorerのエクスプロイトを通じて感染しないとは言い切れません。一部のアプリケーションでは、Internet Explorerを使用することがあります。たとえばMicrosoft Officeの場合、ドキュメント内の動画コンテンツを表示する際にInternet Explorerが使われます。また、サイバー犯罪者が、別の脆弱性を通じてInternet Explorerを呼び出し、悪用する可能性もあります。
CVE-2020-1380は、ダイナミックメモリを不正使用する、解放済みメモリ使用(Use-After-Free)の脆弱性です。このエクスプロイトに関する技術的詳細とIoCについては、Securelistの記事『Internet Explorer 11 and Windows 0-day exploits full chain used in Operation PowerFall』をご覧ください。
対策
Microsoftは2020年6月9日に、CVE-2020-0986(Windowsカーネルの脆弱性)に対するセキュリティ更新プログラムをリリースしています。CVE-2020-1380に関するセキュリティ更新プログラムは、8月11日にリリースされました。
ゼロデイ脆弱性はいつ現れるか分かりません。自社の安全を保つため、脆弱性攻撃対策機能を備えたセキュリティソリューションの導入が必要です。Kasperskyの法人向けソリューションに搭載の脆弱性攻撃対策は、ゼロデイ脆弱性の悪用の試みを見極めることができます。
これに加え、定期的にセキュリティ更新プログラムがリリースされる最新のブラウザーの利用をお勧めします。