脆弱性
新しい脆弱性に関する情報は、一般的に、人間がセキュリティ製品に取り込む必要があります。しかし、Kaspersky Labの技術が新しいゼロデイ攻撃について教えてくれる場合もあります。今回の事例は、まさにそれでした。当社の脆弱性攻撃ブロック(AEP)テクノロジーがこのほど検知した新しいサイバー攻撃は、OSのまだ発見されていない脆弱性を突く未知のエクスプロイトを利用しようという試みでした。
当社のエキスパートが今回の事例を分析したところ、Win32ドライバーファイルであるwin32.sysに脆弱性があることが判明しました。当社はこの問題を速やかにMicrosoftへ報告しました。10月9日、Microsoftはこの脆弱性を発表し、今回の脆弱性CVE-2018-8453を修正するセキュリティアップデートを公開しました。
本脆弱性の危険性
この脆弱性を悪用したマルウェアは、標的のコンピューターで持続的に活動するのに十分な権限を取得します。つまり、攻撃者がコンピューターをコントロール可能となる恐れがあり、危険度の高い脆弱性です。Microsoft Windowsの可能な限り多くのビルドを狙ったものであり、Windows 10 RS4もその中に含まれると当社のエキスパートは述べています。
当社製品はこの脆弱性を悪用する複数の攻撃を検知しており、被害のほとんどは中東地域で発生したものでした。当社のエキスパートは非常に標的を絞った攻撃だったと見ていますが、この脆弱性が公開されたことにより、このような攻撃が増加する可能性があります。
この攻撃に関する技術情報の詳細については、Securelistの記事(英語)をご覧ください。
安全を守るために
- Microsoftのセキュリティ更新プログラムを速やかにインストールする。プログラムの詳細はこちらをご覧ください。
- 社内で使用しているソフトウェアを、定期的に最新バージョンに更新する。
- 脆弱性評価やパッチ管理の機能を備えたセキュリティ製品を使用して、更新プロセスを自動化する。
- ふるまい検知機能を備えた堅牢なセキュリティ製品を使用して、ゼロデイエクスプロイトなど未知の脅威からの保護を講じる。
今回のゼロデイ脆弱性を狙ったエクスプロイトの検知には、当社の複数技術が関わっています。Kaspersky Anti Targeted Attack Platform(APT攻撃からの保護に特化したソリューション)に搭載されている高度なサンドボックス機能(Advanced Sandboxing)およびアンチマルウェアエンジン、そして、Kaspersky Endpoint Security for Businessの不可欠なサブシステムである脆弱性攻撃ブロックです。
ヒント