Microsoft Windowsのゼロデイエクスプロイトは、Windows 10の最新ビルドも対象にした特権昇格のエクスプロイトです(Microsoft Windows OSのカーネルの情報漏えいの脆弱性:CVE-2021-31955、特権の昇格の脆弱性:CVE-2021-31956)。できるだけ早く最新のパッチをダウンロードして適用することが重要です。
[本リリースは、2021年6月8日にKasperskyが発表したプレスリリースに基づき作成したものです]
2021年4月中旬、Kasperskyのセキュリティリサーチャーは、Google Chromeと2つのMicrosoft Windowsの脆弱(ぜいじゃく)性を悪用したゼロデイエクスプロイトを使用した、複数企業に対する高度な標的型攻撃を発見しました。Google Chromeのエクスプロイトは、リモートコードを実行するものでした。Microsoft Windowsのゼロデイエクスプロイトは、Windows 10の最新ビルドも対象にした特権昇格のエクスプロイトで、Microsoft Windows OSのカーネルの情報漏えいの脆弱性(CVE-2021-31955)および特権の昇格の脆弱性(CVE-2021-31956)です(2021年6月8日、 Microsoftより修正プログラム公開済み)。現段階で、この攻撃と既知の脅威アクターとの関連性を特定できていないため、当社はこの攻撃アクターを「PuzzleMaker」と名付けて注視しています。
ここ数ヶ月の間、修正プログラムがまだ適用されていないゼロデイ脆弱性を使用した高度なサイバー脅威活動が相次いで確認されています。4月中旬、当社のリサーチャーは、複数の企業に対する、一連のエクスプロイトを使った高度な標的型攻撃を発見しました。攻撃者は、標的となった組織のネットワークを密かに侵害していました。
これらの複数の攻撃はすべて、リモートコードの実行を可能にするエクスプロイトを利用してGoogle Chromeを通じて行われていました。当社のリサーチャーは同エクスプロイトのコードを取得できていませんが、時系列と利用の可能性から、攻撃者はGoogle Chromeの脆弱性(CVE-2021-21224、現在は修正対応済み)を使用したとみています。この脆弱性は、ChromeとChromiumで使用されているJavaScriptエンジン「V8」に含まれる、Type Mismatch(型の取り違え)のバグに関連するものです。これにより、攻撃者はChromeのレンダラープロセス(ブラウザー内での表示動作を処理するプロセス)を悪用することが可能になります。
Microsoft Windowsのエクスプロイトについて当社のリサーチャーが解析した結果、Microsoft Windows OSのカーネルに含まれる2つの異なるゼロデイ脆弱性を使用した特権昇格のエクスプロイトであることが判明しました。
1つ目の脆弱性は、Windowsカーネルの情報漏えい(CVE-2021-31955)です。具体的には、Windows Vistaで導入されたキャッシュメモリを管理するSuperFetch機能に関する脆弱性です。SuperFetchは、使用頻度の高いアプリケーションをあらかじめメモリにロードしておくことで、ソフトウェアのロード時間を短縮することを目的とした機能です。
2つ目の脆弱性は、Windows
NTFSファイルシステムに存在するヒープベースのバッファオーバーフロー(CVE-2021-31956)です。攻撃者はこの脆弱性をWindowsの通知機能であるWindows Notification Facility(WNF)と共に使用して、任意の基本データ型メモリ読み取り/書き込みを作成し、システム権限でマルウェアモジュールを実行していました。
攻撃者がChromeとWindowsの両方のエクスプロイトを使用して標的システムに侵入すると、最初のマルウェアモジュールが、リモートサーバーから別の複雑なドロッパーモジュールをダウンロードして実行します。このドロッパーは、Microsoft Windows OSの正規のファイルに見せかけた実行ファイルをインストールします。これがリモートシェルモジュールであり、ファイルのダウンロードやアップロード、プロセスの作成、一定時間のスリープ、感染したシステムから自身の削除など、攻撃の主要な機能を実行することが可能となっていました。
Kasperskyのグローバル調査分析チーム(GReAT)シニアセキュリティリサーチャー Boris Larinは次のように述べています。「これらの攻撃は高度な標的型攻撃ですが、まだ既知の脅威アクターとの関連性を特定できていないため、今後の攻撃活動を注視していきます。ここ最近、ゼロデイ脆弱性を悪用した高度な脅威活動を複数観測しており、ゼロデイ脆弱性が依然として標的を感染させる最も効果的な方法であることを示しています。今回、これらの脆弱性の公表により脆弱性を悪用した攻撃が増加する可能性があります。できるだけ早くMicrosoftが公開している最新のパッチをダウンロードして適用することが非常に重要です」
カスペルスキー製品は、上記のエクスプロイト攻撃や関連するマルウェアモジュールを検知・ブロックします。
当ゼロデイエクスプロイトについては、Securelistブログ(英語)「PuzzleMaker attacks with Chrome zero-day exploit chain」で詳しくご紹介しています。