CVE-2019-1458:Windows OSの新たなゼロデイ脆弱性

Kasperskyは、WizardOpiumの攻撃活動を調査する中で、Windowsのゼロデイ脆弱性を新たに発見しました。

ゼロデイ脆弱性とは、ソフトウェアに存在する、これまで知られていなかったバグです。最初に見つけたのが犯罪者であった場合、長期にわたって気付かれないまま犯罪行為が行われ、予想外の深刻な損害がもたらされる可能性があります。認知されていない脅威の場合、通常のセキュリティソリューションでは感染を感知できず、保護を講じることができません。

Kasperskyのリサーチャーは、Windowsのゼロデイ脆弱性を新たに発見しました。発見のきっかけとなったのは、当社が以前検知した別のゼロデイ脆弱性です。2019年11月、当社製品のほとんどに搭載されている脆弱性攻撃ブロック機能により、Google Chromeに存在するゼロデイ脆弱性を悪用するエクスプロイトが検知されました。このエクスプロイトは、被害に遭ったマシンの上で任意のコードの実行を許すものでした。「WizardOpium」と名付けられたこの攻撃活動の調査を進める中で、Windows OSに別の脆弱性が見つかりました。

新たに見つかったWindowsの脆弱性は権限昇格のゼロデイ脆弱性であり(CVE-2019-1458)、前回発見されたGoogle Chromeのエクスプロイトにも組み込まれていました。感染先マシンで上位の権限を得るだけでなく、Chromeのサンドボックス(Chromeとコンピューターを悪意ある攻撃から守るためのコンポーネント)を回避するのにも使われていました。

この権限昇格の脆弱性は、win32k.sysドライバーに属するものであると判明しました。Windows 7の最新パッチ適用バージョンのほか、Windows 10の一部ビルド(最近のバージョンは影響を受けない)でも悪用された可能性があります。技術的な詳細については、Securelistの記事(英語サイト)をご覧ください。

この脆弱性はMicrosoftへ報告され、2019年12月の月例更新で修正されています。

カスペルスキー製品は、このエクスプロイトを「PDM:Exploit.Win32.Generic」の検知名で検知およびブロックします。

安全を守るために

Windowsのゼロデイ脆弱性を通じてバックドアがインストールされるのを防ぐために、Kasperskyでは以下の手段を推奨しています。

  • 新たに見つかった脆弱性に対するMicrosoftの修正パッチをできるだけ早くインストールする。
  • 企業全体のセキュリティを確保するため、すべてのソフトウェアについて、セキュリティ関連の修正パッチがリリースされたらすぐに適用する。この作業が自動的に行われるように、脆弱性の評価とパッチの管理を行う機能を持つセキュリティ製品を使用することをお勧めします。
  • 未知の脅威に対応できるよう、ふるまい検知機能を備えたセキュリティ製品(Kaspersky Endpoint Securityなど)を導入する。
  • 社内のセキュリティ部門が常に最新のサイバー脅威情報を得られる状況にする。Kaspersky Threat Intelligenceをご利用のお客様は、サイバー脅威の状況に関する最新のプライベートレポートを入手可能です。Kaspersky Threat Intelligenceの詳細についてはWebフォームよりお問い合わせください。
  • サンドボックス機能を活用して、疑わしいオブジェクトを解析する。Kaspersky Threat Intelligence に含まれるKaspersky Cloud Sandboxの基本機能は、こちらのページにてご利用いただけます。

 

ITおよびセキュリティのご担当者様へ:Microsoftのゼロデイ脆弱性の検知に貢献した当社技術について、Kaspersky Labのエキスパートがウェビナーを実施しました。録画を公開しておりますので、以下リンクよりご覧ください。

Three Windows zero-days in three months: how we found them in the wild

※ウェビナーおよびウェビナー説明は英語です。
※ウェビナーをご覧いただくには、BrightTALKへの登録が必要です。

ヒント