セキュリティ研究者が、パッチ未適用の「Windows」のゼロデイ脆弱性に関する詳細と概念実証コードを公開してから2日後、あるマルウェアグループはすでにエクスプロイトチェーンにこの脆弱性を組み込み、世界中のユーザーを感染させようとしていたという。
このたび出回っているマルウェアで悪用された脆弱性は、Windowsのタスクスケジューラに存在する「Advanced Local Procedure Call(ALPC)」の処理の不具合によって、ローカルで権限が昇格される可能性があるセキュリティホールで、修正パッチは公開されていない。
米国時間8月27日に、SandboxEscaperと名乗るTwitterユーザーが、脆弱性の存在についてTwitterで公開していた。同ユーザーは、この脆弱性の概念実証コードが掲載されているとみられるGitHubのページへのリンクを公開した。攻撃者は、TwitterやGitHubで公開された概念実証コードを利用して、通常のユーザーのパーミッションレベルをUSERからSYSTEMに昇格させることが可能になる恐れがある。
セキュリティ研究者のMatthieu Faou氏は、コンパイル済みのバイナリコードだけでなく、エクスプロイトのソースコードも公開されていたため、誰でもこの脆弱性を悪用できる恐れがあるとしている。
Faou氏は9月5日に公開したレポートで、このゼロデイ脆弱性を悪用するグループについて報告している。同氏は、このグループを「PowerPool」と呼び、世界中から被害者を選んでサイズの小さなスパムを送信していると説明している。標的となった国はチリやドイツ、インド、フィリピン、ポーランド、ロシア、英国、米国、ウクライナだという。
これらの電子メールには、第1段階のバックドアでユーザーに感染する悪意のある添付ファイルが含まれている。Faou氏によると、感染したマシンに機密データが含まれている可能性があると判断したら、攻撃者はさらに強力な第2段階のバックドアをダウンロードするという。PowerPoolはその後、Windowsのゼロデイ脆弱性を悪用し、バックドアに管理者権限を取得させる。
Faou氏はレポートの中で、このマルウェアは、国家が支援するサイバースパイグループが利用するような最先端のマルウェアとは異なるとしている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
