Kaspersky、標的型攻撃で使用されたWindows OSとInternet Explorerのゼロデイエクスプロイトを発見
[本リリースは、2020年8月12日にKasperskyが発表したプレスリリースに基づき作成したものです]
--【概要】---
2020年5月、Kasperskyの自動検知テクノロジーが、ある韓国企業への標的型攻撃を検知、防御しました。詳細な調査の結果、この攻撃は二つのゼロデイエクスプロイトで構成される、未知の一連の手法が取られていたことが判明しました。一つはInternet Explorer 11のリモートコード実行のエクスプロイト、もう一つはWindowsの特権昇格のエクスプロイトで、Windows 10の最新バージョンを標的としていました。
--------------
ゼロデイ脆弱性とは、ベンダーまだパッチを提供していないソフトウェアのバグを指します。ひとたび発見されると、攻撃者が悪用しエクスプロイトを作成して攻撃活動を密かに行えるようになり、深刻で予期せぬ被害をもたらす可能性があります。
Kasperskyのリサーチャーが韓国企業を狙った標的型攻撃を調査する中で、二つのゼロデイエクスプロイトを発見しました。一つ目は、Internet Explorer 11のUse-After-Free(解放済みメモリー使用)つまり、リモートでコードが実行される脆弱性を悪用していました。(CVE識別番号「CVE-2020-1380」、2020年8月11日パッチ公開済み)
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-1380
しかしながらInternet Explorerは分離された環境で動作するため、サイバー攻撃者は感染マシン上で高い権限を持つことが不可欠です。そこで必要となったのが、Windowsのプリンターサービスの脆弱性を突く二つ目のエクスプロイトです。(「CVE-2020-0986」、2020年6月9日パッチ公開済み)
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-0986
これで攻撃者は感染マシン上で任意のコードを実行することができるようになりました。
Kasperskyのセキュリティエキスパート ボリス・ラリン(Boris Larin)は次のように述べています。「ゼロデイ脆弱性を突いた攻撃は、サイバーセキュリティのコミュニティにとって常に大きなニュースとなります。脆弱性をうまく発見すれば、即座にベンダーに対する強制力が働き、修正プログラムを発行して利用ユーザーに必要な全てのアップデートの実行を促せます。これまで当社が発見してきたエクスプロイトは主に権限昇格に関するものでしたが、今回発見した攻撃で特に興味深いのは、それよりも危険なリモートコード実行機能を持つエクスプロイトが含まれていたことです。Windows 10の最新ビルドへの影響力と相まって、発見した攻撃は最近では非常にまれなものです。この手口から再度気付かされるのは、最新のゼロデイ脅威を積極的に検知できるように、優れた脅威インテリジェンスと実績のある保護技術に投資すべきだということです」
当社のリサーチャーは、今回の新しいエクスプロイトと過去に発見したエクスプロイトの類似性から、既知のサイバー攻撃活動「DarkHotel」との関連を調査しています。
カスペルスキー製品は、これらのエクスプロイトをPDM:Exploit.Win32.Genericの検知名で検知します。
今回発見した新しいエクスプロイトの詳細は、Securelistブログ(英語)「Internet Explorer and Windows zero-day exploits used in Operation PowerFall」をご覧ください。
https://securelist.com/ie-and-windows-zero-day-operation-powerfall/97976/
■ Kaspersky について
Kasperskyは、1997年に設立された世界的なサイバーセキュリティ企業です。Kasperskyが有する深く高度な脅威インテリジェンスと専門性は、常に当社の革新的なセキュリティソリューションやサービスに反映され、世界中の企業、政府機関、重要インフラから個人のお客様までを保護しています。高度に進化するデジタル脅威に対抗するため、先進のエンドポイント保護製品をはじめ、多くのソリューションとサービスを包括するセキュリティポートフォリオを提供しています。当社のテクノロジーは、4億人以上のユーザーを保護し、25万の企業や組織の重要な資産を守る力になっています。詳しくはwww.kaspersky.co.jp をご覧ください。
--【概要】---
2020年5月、Kasperskyの自動検知テクノロジーが、ある韓国企業への標的型攻撃を検知、防御しました。詳細な調査の結果、この攻撃は二つのゼロデイエクスプロイトで構成される、未知の一連の手法が取られていたことが判明しました。一つはInternet Explorer 11のリモートコード実行のエクスプロイト、もう一つはWindowsの特権昇格のエクスプロイトで、Windows 10の最新バージョンを標的としていました。
--------------
ゼロデイ脆弱性とは、ベンダーまだパッチを提供していないソフトウェアのバグを指します。ひとたび発見されると、攻撃者が悪用しエクスプロイトを作成して攻撃活動を密かに行えるようになり、深刻で予期せぬ被害をもたらす可能性があります。
Kasperskyのリサーチャーが韓国企業を狙った標的型攻撃を調査する中で、二つのゼロデイエクスプロイトを発見しました。一つ目は、Internet Explorer 11のUse-After-Free(解放済みメモリー使用)つまり、リモートでコードが実行される脆弱性を悪用していました。(CVE識別番号「CVE-2020-1380」、2020年8月11日パッチ公開済み)
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-1380
しかしながらInternet Explorerは分離された環境で動作するため、サイバー攻撃者は感染マシン上で高い権限を持つことが不可欠です。そこで必要となったのが、Windowsのプリンターサービスの脆弱性を突く二つ目のエクスプロイトです。(「CVE-2020-0986」、2020年6月9日パッチ公開済み)
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-0986
これで攻撃者は感染マシン上で任意のコードを実行することができるようになりました。
Kasperskyのセキュリティエキスパート ボリス・ラリン(Boris Larin)は次のように述べています。「ゼロデイ脆弱性を突いた攻撃は、サイバーセキュリティのコミュニティにとって常に大きなニュースとなります。脆弱性をうまく発見すれば、即座にベンダーに対する強制力が働き、修正プログラムを発行して利用ユーザーに必要な全てのアップデートの実行を促せます。これまで当社が発見してきたエクスプロイトは主に権限昇格に関するものでしたが、今回発見した攻撃で特に興味深いのは、それよりも危険なリモートコード実行機能を持つエクスプロイトが含まれていたことです。Windows 10の最新ビルドへの影響力と相まって、発見した攻撃は最近では非常にまれなものです。この手口から再度気付かされるのは、最新のゼロデイ脅威を積極的に検知できるように、優れた脅威インテリジェンスと実績のある保護技術に投資すべきだということです」
当社のリサーチャーは、今回の新しいエクスプロイトと過去に発見したエクスプロイトの類似性から、既知のサイバー攻撃活動「DarkHotel」との関連を調査しています。
カスペルスキー製品は、これらのエクスプロイトをPDM:Exploit.Win32.Genericの検知名で検知します。
今回発見した新しいエクスプロイトの詳細は、Securelistブログ(英語)「Internet Explorer and Windows zero-day exploits used in Operation PowerFall」をご覧ください。
https://securelist.com/ie-and-windows-zero-day-operation-powerfall/97976/
■ Kaspersky について
Kasperskyは、1997年に設立された世界的なサイバーセキュリティ企業です。Kasperskyが有する深く高度な脅威インテリジェンスと専門性は、常に当社の革新的なセキュリティソリューションやサービスに反映され、世界中の企業、政府機関、重要インフラから個人のお客様までを保護しています。高度に進化するデジタル脅威に対抗するため、先進のエンドポイント保護製品をはじめ、多くのソリューションとサービスを包括するセキュリティポートフォリオを提供しています。当社のテクノロジーは、4億人以上のユーザーを保護し、25万の企業や組織の重要な資産を守る力になっています。詳しくはwww.kaspersky.co.jp をご覧ください。
このプレスリリースには、メディア関係者向けの情報があります
メディアユーザーログイン既に登録済みの方はこちら
メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。
すべての画像
- 種類
- 調査レポート
- ビジネスカテゴリ
- アプリケーション・セキュリティ
- ダウンロード