編集部からのお知らせ
ZDNet Japanが新しくなりました!
New! 懸念高まる産業機器のセキュリティ

「Windows」タスクスケジューラの脆弱性を悪用するマルウェア見つかる

Catalin Cimpanu (ZDNet.com) 翻訳校正: 矢倉美登里 吉武稔夫 (ガリレオ)

2018-09-06 14:27

 セキュリティ研究者が、パッチ未適用の「Windows」のゼロデイ脆弱性に関する詳細と概念実証コードを公開してから2日後、あるマルウェアグループはすでにエクスプロイトチェーンにこの脆弱性を組み込み、世界中のユーザーを感染させようとしていたという。

 このたび出回っているマルウェアで悪用された脆弱性は、Windowsのタスクスケジューラに存在する「Advanced Local Procedure Call(ALPC)」の処理の不具合によって、ローカルで権限が昇格される可能性があるセキュリティホールで、修正パッチは公開されていない。

 米国時間8月27日に、SandboxEscaperと名乗るTwitterユーザーが、脆弱性の存在についてTwitterで公開していた。同ユーザーは、この脆弱性の概念実証コードが掲載されているとみられるGitHubのページへのリンクを公開した。攻撃者は、TwitterやGitHubで公開された概念実証コードを利用して、通常のユーザーのパーミッションレベルをUSERからSYSTEMに昇格させることが可能になる恐れがある。

 セキュリティ研究者のMatthieu Faou氏は、コンパイル済みのバイナリコードだけでなく、エクスプロイトのソースコードも公開されていたため、誰でもこの脆弱性を悪用できる恐れがあるとしている。

 Faou氏は9月5日に公開したレポートで、このゼロデイ脆弱性を悪用するグループについて報告している。同氏は、このグループを「PowerPool」と呼び、世界中から被害者を選んでサイズの小さなスパムを送信していると説明している。標的となった国はチリやドイツ、インド、フィリピン、ポーランド、ロシア、英国、米国、ウクライナだという。

 これらの電子メールには、第1段階のバックドアでユーザーに感染する悪意のある添付ファイルが含まれている。Faou氏によると、感染したマシンに機密データが含まれている可能性があると判断したら、攻撃者はさらに強力な第2段階のバックドアをダウンロードするという。PowerPoolはその後、Windowsのゼロデイ脆弱性を悪用し、バックドアに管理者権限を取得させる。

 Faou氏はレポートの中で、このマルウェアは、国家が支援するサイバースパイグループが利用するような最先端のマルウェアとは異なるとしている。

Windows

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]