Kaspersky、Desktop Window Managerのゼロデイ脆弱性を狙うエクスプロイトを発見

[本リリースは、2021年4月14日にKasperskyが発表したプレスリリースに基づき作成したものです]

2021年初旬、Kasperskyのリサーチャーが既知の「BITTER」APT（高度サイバー攻撃）グループが使用した「CVE-2021-1732」エクスプロイトを詳細に分析する中で、これまで知られていなかった脆弱性（ぜいじゃくせい）を悪用した別のゼロデイエクスプロイトを発見しました。当社は2月にMicrosoftに報告し、その後ゼロデイであることが確認され、脆弱性を識別するCVE識別番号「CVE-2021-28310」が付与されました（2021年4月13日パッチ公開済み）。現時点では、このエクスプロイトはすでに複数の脅威アクターに利用されている可能性があると見ていますが、脅威活動を行う既知のアクターとの関連性は分かっていません。

ゼロデイ脆弱性とは、サイバー攻撃者が標的のデバイスやネットワークを侵害するために悪用する可能性のある、まだ発見・修正されていないソフトウェアの脆弱性です。ひとたび発見されると、攻撃者が悪用しエクスプロイト（スクリプトやコード）を作成して攻撃活動をひそかに行えるようになり、深刻で予期せぬ被害をもたらしかねません。

このエクスプロイトは、主にデスクトップ画面の描画処理を管理するWindowsの標準プログラム「Desktop Window Manager」の特権昇格（EoP）の脆弱性を狙い、攻撃者は被害者のマシン上で任意のコードを実行することができます。可能性としては、ほかのブラウザの脆弱性を悪用するエクスプロイトと一緒に使用され、疑わしいオブジェクトを実行するマルウェアの検知システムであるサンドボックスをすり抜けたり、システムの特権を得てさらにアクセスを行うために使用されることが考えられます。

現時点の当社の調査では、完全な感染経路が判明していないため、このエクスプロイトがほかのゼロデイと一緒に使用されているのか、あるいはパッチが適用された既知の脆弱性と一緒に使用されているのかは分かっていません。

Kasperskyのセキュリティエキスパート、ボリス・ラリン（Boris Larin）は次のように述べています。「このエクスプロイトは、当社の高度な脆弱性攻撃ブロックの技術と関連する検知レコードによって特定されました。これまでも同技術をさまざまな製品に搭載し、複数のゼロデイを検知することでその有効性を証明してきました。今後も技術を強化し続け、ベンダーと協力して脆弱性にパッチを適用することでお客様の防御力を高め、インターネットの利用をより安全なものにしていきます」

カスペルスキー製品は、このエクスプロイトを以下の検知名で検知・ブロックします。
HEUR:Exploit.Win32.Generic
HEUR:Trojan.Win32.Generic
PDM:Exploit.Win32.Generic

このような脅威から保護するため、以下のセキュリティ対策を推奨します。
・新しい脆弱性に対応したパッチを早急にインストールする。
・エンドポイント製品の脆弱性・パッチ管理機能は、ITセキュリティ管理者の作業を大幅に簡素化します。
・SOCチームが最新の脅威インテリジェンス（TI）にアクセスできるようにする。Kaspersky Threat Intelligence Portalは、Kasperskyの脅威インテリジェンスにアクセスできるポータルサイトです。当社が20年余りをかけて収集してきたサイバー攻撃に関するデータと知見を利用できます。
・エンドポイント製品の導入に加え、 Kaspersky Anti Targeted Attack Platformなど、早い段階に高度な脅威をネットワークレベルで検知するセキュリティソリューションを実装する。

当ゼロデイ脆弱性の詳細は、Securelistブログ（英語）「Zero-day vulnerability in Desktop Window Manager (CVE-2021-28310) used in the wild」でご覧いただけます。
BITTER APTおよびIOC（脅威存在痕跡）に関する詳細情報については お問い合わせください。