2019年3月20日

Kaspersky Lab、サイバー犯罪組織が悪用したMicrosoft Windowsゼロデイ脆弱性を発見 ~ カスペルスキー製品の脆弱性攻撃ブロック機能が、実際に利用されたゼロデイエクスプロイトを検知 ~

カスペルスキーのエンドポイント向け製品の脆弱性攻撃ブロック機能が、Windowsの新たな脆弱性を悪用したエクスプロイトを検知しました。このエクスプロイトは、「FruityArmor」や「SandCat」以外にも、複数のサイバー犯罪組織によって使用された可能性があるとみています。

[本リリースは、2019年3月13日にKaspersky Labが発表したプレスリリースに基づき作成したものです]

このたび、カスペルスキーのエンドポイント向け製品に搭載されている脆弱性攻撃ブロック機能が、Microsoft Windowsの新たな脆弱性を悪用したエクスプロイトを検知しました。この脆弱性は、最近発見された「SandCat」をはじめ、少なくとも2つのサイバー犯罪組織による標的型攻撃で使用されたとみています。脆弱性攻撃ブロック機能が検知した、実際に利用されているゼロデイエクスプロイトはこれで4つ目となりました。Kaspersky Labはこの「CVE-2019-0797」脆弱性をMicrosoftに報告し、Microsoftパッチをリリースしました。

ゼロデイ脆弱性とは、サイバー攻撃者が標的のデバイスやネットワークを侵害するために悪用する可能性のある、まだ発見、修正されていないソフトウェアの脆弱性です。今回検知したエクスプロイトは、Microsoft Windowsのグラフィックサブシステムの脆弱性を使用してローカルの特権を昇格させるもので、これにより、攻撃者は標的のコンピューターを完全に制御できるようになります。Kaspersky Labの調査チームがマルウェアサンプルを解析した結果、このエクスプロイトはWindows 8 ~ Windows 10を標的にしていることが判明しました。

同調査チームの観測では、このエクスプロイトは、これまで複数のゼロデイ脆弱性を悪用した攻撃に関与したとみられる「FruityArmor」や最近見つかった新しいサイバー犯罪組織「SandCat」以外にも、複数のサイバー犯罪組織によって使用された可能性があるとみています。

Kaspersky Labのセキュリティエキスパート、アントン・イワノフ(Anton Ivanov)は次のように述べています。「実際に盛んに悪用されていたWindowsのゼロデイ脆弱性を発見したことは、サイバー犯罪組織が依然として高コストで珍しいツールに高い関心を持っていることを示しています。未知の脅威から保護するセキュリティソリューションが組織には必要であり、サイバーセキュリティ業界とソフトウェア開発者との協力の重要性も再確認することとなりました。ソフトウェアバグの発見、責任ある情報開示、迅速なパッチの適用は、新しい脅威からユーザーを保護するための最善策です」

カスペルスキー製品では、このエクスプロイトを以下の検知名で検知・ブロックします。
HEUR:Exploit.Win32.Generic
HEUR:Trojan.Win32.Generic
PDM:Exploit.Win32.Generic

ゼロデイ脆弱性を悪用したエクスプロイトを回避するために、次のことを推奨します。
・できる限り早急に、この新たな脆弱性に対するMicrosoftのパッチをインストールする。
・使用しているソフトウェアの自動更新を有効にし、常に最新版に更新されていることを確認する。あわせて、脆弱性評価やパッチ管理機能のあるセキュリティ製品を利用する。
・エクスプロイトを含む既知の脅威や未知の脅威から効果的にユーザーを保護する、ふるまいベースの検知機能を備えたセキュリティ製品を利用する。
・サイバーセキュリティの基本的な予防策について、従業員を教育する。

当ゼロデイエクスプロイト(CVE-2019-0797)の攻撃について詳しくは、Securelistブログ「The fourth horseman: CVE-2019-0797 vulnerability」(英語)をご覧ください。