メインコンテンツにスキップする

Kaspersky、Chromeの脆弱性を経由してMicrosoft Windowsの未知の脆弱性を悪用した一連の高度な標的型攻撃を発見

2021年6月11日

Microsoft Windowsのゼロデイエクスプロイトは、Windows 10の最新ビルドも対象にした特権昇格のエクスプロイトです(Microsoft Windows OSのカーネルの情報漏えいの脆弱性:CVE-2021-31955、特権の昇格の脆弱性:CVE-2021-31956)。できるだけ早く最新のパッチをダウンロードして適用することが重要です。

[本リリースは、2021年6月8日にKasperskyが発表したプレスリリースに基づき作成したものです]

2021年4月中旬、Kasperskyのセキュリティリサーチャーは、Google Chromeと2つのMicrosoft Windowsの脆弱(ぜいじゃく)性を悪用したゼロデイエクスプロイトを使用した、複数企業に対する高度な標的型攻撃を発見しました。Google Chromeのエクスプロイトは、リモートコードを実行するものでした。Microsoft Windowsのゼロデイエクスプロイトは、Windows 10の最新ビルドも対象にした特権昇格のエクスプロイトで、Microsoft Windows OSのカーネルの情報漏えいの脆弱性(CVE-2021-31955)および特権の昇格の脆弱性(CVE-2021-31956)です(2021年6月8日、 Microsoftより修正プログラム公開済み)。現段階で、この攻撃と既知の脅威アクターとの関連性を特定できていないため、当社はこの攻撃アクターを「PuzzleMaker」と名付けて注視しています。

ここ数ヶ月の間、修正プログラムがまだ適用されていないゼロデイ脆弱性を使用した高度なサイバー脅威活動が相次いで確認されています。4月中旬、当社のリサーチャーは、複数の企業に対する、一連のエクスプロイトを使った高度な標的型攻撃を発見しました。攻撃者は、標的となった組織のネットワークを密かに侵害していました。

これらの複数の攻撃はすべて、リモートコードの実行を可能にするエクスプロイトを利用してGoogle Chromeを通じて行われていました。当社のリサーチャーは同エクスプロイトのコードを取得できていませんが、時系列と利用の可能性から、攻撃者はGoogle Chromeの脆弱性(CVE-2021-21224、現在は修正対応済み)を使用したとみています。この脆弱性は、ChromeとChromiumで使用されているJavaScriptエンジン「V8」に含まれる、Type Mismatch(型の取り違え)のバグに関連するものです。これにより、攻撃者はChromeのレンダラープロセス(ブラウザー内での表示動作を処理するプロセス)を悪用することが可能になります。

Microsoft Windowsのエクスプロイトについて当社のリサーチャーが解析した結果、Microsoft Windows OSのカーネルに含まれる2つの異なるゼロデイ脆弱性を使用した特権昇格のエクスプロイトであることが判明しました。
1つ目の脆弱性は、Windowsカーネルの情報漏えい(CVE-2021-31955)です。具体的には、Windows Vistaで導入されたキャッシュメモリを管理するSuperFetch機能に関する脆弱性です。SuperFetchは、使用頻度の高いアプリケーションをあらかじめメモリにロードしておくことで、ソフトウェアのロード時間を短縮することを目的とした機能です。
2つ目の脆弱性は、Windows NTFSファイルシステムに存在するヒープベースのバッファオーバーフロー(CVE-2021-31956)です。攻撃者はこの脆弱性をWindowsの通知機能であるWindows Notification Facility(WNF)と共に使用して、任意の基本データ型メモリ読み取り/書き込みを作成し、システム権限でマルウェアモジュールを実行していました。

攻撃者がChromeとWindowsの両方のエクスプロイトを使用して標的システムに侵入すると、最初のマルウェアモジュールが、リモートサーバーから別の複雑なドロッパーモジュールをダウンロードして実行します。このドロッパーは、Microsoft Windows OSの正規のファイルに見せかけた実行ファイルをインストールします。これがリモートシェルモジュールであり、ファイルのダウンロードやアップロード、プロセスの作成、一定時間のスリープ、感染したシステムから自身の削除など、攻撃の主要な機能を実行することが可能となっていました。

Kasperskyのグローバル調査分析チーム(GReAT)シニアセキュリティリサーチャー Boris Larinは次のように述べています。「これらの攻撃は高度な標的型攻撃ですが、まだ既知の脅威アクターとの関連性を特定できていないため、今後の攻撃活動を注視していきます。ここ最近、ゼロデイ脆弱性を悪用した高度な脅威活動を複数観測しており、ゼロデイ脆弱性が依然として標的を感染させる最も効果的な方法であることを示しています。今回、これらの脆弱性の公表により脆弱性を悪用した攻撃が増加する可能性があります。できるだけ早くMicrosoftが公開している最新のパッチをダウンロードして適用することが非常に重要です」

カスペルスキー製品は、上記のエクスプロイト攻撃や関連するマルウェアモジュールを検知・ブロックします。

当ゼロデイエクスプロイトについては、Securelistブログ(英語)「PuzzleMaker attacks with Chrome zero-day exploit chain」で詳しくご紹介しています。

Kaspersky、Chromeの脆弱性を経由してMicrosoft Windowsの未知の脆弱性を悪用した一連の高度な標的型攻撃を発見

Microsoft Windowsのゼロデイエクスプロイトは、Windows 10の最新ビルドも対象にした特権昇格のエクスプロイトです(Microsoft Windows OSのカーネルの情報漏えいの脆弱性:CVE-2021-31955、特権の昇格の脆弱性:CVE-2021-31956)。できるだけ早く最新のパッチをダウンロードして適用することが重要です。
Kaspersky logo

Kaspersky について

Kasperskyは1997年に設立された、グローバルなサイバーセキュリティおよびデジタルプライバシーの企業です。これまでに10億台以上のデバイスを新たなサイバー脅威や標的型攻撃から保護しています。深い脅威インテリジェンスとセキュリティの専門知識を生かし、革新性に富んだセキュリティソリューションやサービスを提供することで、世界中の企業、重要インフラ、政府機関、そして個人のお客様を守っています。当社の包括的なセキュリティポートフォリオには、業界をリードするエンドポイント保護製品、専門的なセキュリティ製品とサービス、そして高度なデジタル脅威に対抗するためのサイバーイミューン(Cyber Immune)ソリューションが含まれます。当社は22万社を超える法人のお客様の重要な資産を守る力になっています。詳しくはwww.kaspersky.co.jpをご覧ください。

関連記事 ウイルスニュース