Kaspersky Lab、未知のサイバー犯罪組織に悪用されたWindows OSのゼロデイ脆弱性を発見

[本リリースは、2019年4月15日にKaspersky Labが発表したプレスリリースに基づき作成したものです]

Kaspersky Labの自動化テクノロジーは、Microsoft Windowsの新たなゼロデイ脆弱性を検知しました。この脆弱性は、標的のデバイスを完全に制御しようと試みた正体不明のサイバー犯罪組織によって悪用されていました。攻撃者は、バックドアを経由してシステムの中核であるカーネルを狙っていました。Kaspersky Labはこの「CVE-2019-0859」脆弱性をMicrosoftに報告し、Microsoftはパッチをリリースしました。

バックドアは極めて危険なタイプのマルウェアです。バックドアの使用により、サイバー犯罪組織は、気付かれることなく悪意ある目的のために感染したマシンを制御できます。このように第三者が権限を昇格すると、通常はセキュリティ製品によって検知されてしまいますが、ゼロデイ脆弱性を悪用するバックドアは、発見・修正前のシステムのバグであるため、より高い確率で検知を逃れることができます。従来型のセキュリティソリューションでは、システムの感染を把握することも、まだ検知されていない脅威からユーザーを保護することも難しい状況です。

しかしながら、カスペルスキー製品に搭載されている脆弱性攻撃ブロック機能は、Microsoft Windows OSの未知の脆弱性を悪用しようと試みた攻撃を検知しました。検知した攻撃のシナリオは次のとおりです。まず、悪意のある.exeファイルを起動すると、マルウェアのインストールが始まります。そしてゼロデイ脆弱性を悪用し、標的のマシンでの継続的な活動を可能にする権限を得ます。次にマルウェアは、Windows OSに標準で搭載されているWindows PowerShellを使用してバックドアを起動します。これによりサイバー犯罪組織は、セキュリティ製品による検知を逃れることができるため、悪意のあるツールのコードを記述する時間を節約できます。その後マルウェアが、実在するテキストデータのストレージサービスから別のバックドアをダウンロードすると、犯罪組織は感染したシステムを完全に制御できるようになります。

Kaspersky Labのセキュリティエキスパート、アントン・イワノフ（Anton Ivanov）は次のように述べています。「この攻撃では、APT攻撃で観測される2つの傾向が確認されました。1つ目は、標的のマシンで持続的に活動できるようにするローカル権限昇格エクスプロイトの使用です。2つ目は、標的のマシンで悪意のあるアクティビティを実行するため、Windows PowerShellといった正規のフレームワークの使用です。これらを組み合わせることで、サイバー犯罪組織は標準的なセキュリティソリューションをすり抜けることができるようになります。このような技術を検知するには、セキュリティソリューションは脆弱性攻撃ブロック機能と振る舞い検知エンジンを使用する必要があります」

カスペルスキー製品では、このエクスプロイトを以下の検知名で検知・ブロックします。

• HEUR:Exploit.Win32.Generic
• HEUR:Trojan.Win32.Generic
• PDM:Exploit.Win32.Generic

Windowsのゼロデイ脆弱性からバックドアがインストールされないようにするために、次のことを推奨します。

• サイバー犯罪組織による脆弱性の悪用を防ぐため、新たな脆弱性に対するMicrosoftのパッチをできる限り早急にインストールする
• 新たなセキュリティパッチがリリースされ次第、すべてのソフトウェアを確実にアップデートする。また、使用しているソフトウェアの自動更新を有効にし、常に最新版に更新されていることを確認する。あわせて、脆弱性評価やパッチ管理機能を備えたセキュリティ製品を使用する
• 未知の脅威からユーザーを保護する振る舞いベースの検知機能を備えたセキュリティ製品を使用する
• セキュリティチームが最新のサイバー脅威インテリジェンスにアクセスできるようにする
• 従業員がサイバーセキュリティの基本的な予防策を習得していることを確認する

■当エクスプロイト（CVE-2019-0859）の攻撃について詳しくは、Securelistブログ「New zero-day vulnerability CVE-2019-0859 in win32k.sys」（英語）をご覧ください。