Facebook Google Plus Twitter LinkedIn YouTube RSS メニュー 検索 出典 - ブログ 出典 - ウェビナー出典 - レポート出典 - イベントicons_066 icons_067icons_068icons_069icons_070

Tenable ブログ

ブログ通知を受信する

なぜIEを使い続けるのか?Double Killはまさに最新の問題

Steve Tilson
April 27, 2018 • 4 Min Read
by Steve Tilson 
Blog Home / Cyber Exposure Alerts

[更新] この警告を1週間前にリリースしたとき、勢いを増して大きな問題になると予想しました。予想どおり、Microsoftは月例パッチでこの脆弱性に対応しました。このパッチでは多くの点が扱われていますが、最も重要な修正はCVE-2018-8174に関するものです。このCVEは「Windows VBScriptエンジンのリモートでコードが実行される脆弱性」です。Double Kill IEゼロデイ脆弱性とも言われています。

MicrosoftのレガシーブラウザーInternet Explorer(IE)は30年近く使われていますが、問題がないわけではありません。IEには非常に多くのセキュリティ問題があります。そのためMicrosoftは新たにEdgeという安全なブラウザーを作っているほどです。しかし、それでもまだいくつかの問題があります。Edgeは先進的なテクノロジーを採用しているため、IEに搭載されていた一部の従来の機能がサポートされていません。そのため、IEは未だにすべてのWindowsオペレーティングシステムにインストールされています。 そしてあらためて、IEは攻撃者によって実際に悪用されています。その様子は、中国のセキュリティ会社Qihooによって検出、観測されています。Qihooは、この新たなゼロデイ脆弱性をDouble Killと呼んでいます。彼らは、Double Killが高度な持続型脅威(APT: Advanced Persistent Threat)であり、標的とするシステムに継続的にアクセスすることを狙うものだと考えています。

影響の評価

現時点では、技術上の詳細やPOCはまだ公開されていません。しかし、Qihoo360は次のように述べています 。Double Killは、Microsoft Word文書(通常、電子メールの添付ファイルとして送信されます)を攻撃経路として使用し、IEの脆弱性を突いている。さらにQihoo360は、その文書にはいくつかの不特定な種類のシェルコードが含まれているとも述べています。何らかの方法によってバックグラウンドプロセスで起動したInternet Explorerは、実行可能プログラムをダウンロードして実行します。ユーザーの目に見える警告は表示されません。Double Killを含む悪意のある文書が開かれると、攻撃者は気づかれることなく標的のコンピューターを制御できるようになり、いつでも秘密裏にランサムウェアの感染、盗聴、データ漏洩を引き起こせるようになります。

この脆弱性は現在広く悪用されています。システムが脆弱な場合、攻撃側は、悪意のあるコードをリモートで実行することによって、影響が及ぶシステムをリモートで乗っ取ることができます。この攻撃は現時点では2つの方法で可能です。1つは侵害されたウェブサイト経由で、もう1つは悪意のあるMicrosoft Officeドキュメントを介してです。

脆弱性の詳細

通常、この種の攻撃は、スピアフィッシングの試みから始まります。スピアフィッシングとは、特定の組織や個人を標的としたEメールによる一種のなりすまし攻撃です。これが成功すると、標的となった人は信頼された送信元からのメールだと思い込み、そうと知らずに添付されたWord文書に埋め込まれたマルウェアを有効化してしまう場合があります。多くの攻撃シナリオでは、検知を避けるため、攻撃者はすばやく侵入してすばやく立ち去ります。APTにおける攻撃者の目的は、標的に対する継続的なアクセスを行うことです。

VBScriptエンジンのこの脆弱性は、以前のブラウザーの脆弱性と似ています。分析によると、最も広く見受けられる攻撃は埋め込みのウェブページを含む、WordなどのOfficeドキュメントを配布する方法です。

悪用

問題のWord文書は、自動的にコンピューターにダウンロードされることはないので、ユーザーの操作が必要になります。ユーザーはIEを使って感染したファイルを開く必要があります。それによって、悪意のあるウェブページが開かれます。マルウェアは、ユーザーアカウント制御をすり抜け、ファイルステガノグラフィー(ファイルやメッセージ、イメージに別のファイルやメッセージ、イメージを埋め込むこと)を使います。

また、攻撃側は、Microsoft OfficeドキュメントやIEレンダリングエンジンをホストするアプリケーションに、「初期化しても安全」とマークされたActiveXコントロールを埋め込むという方法を利用することもあります。そうしたドキュメントを開くと、コードが実行されます。これは極めて危険です。単にブラウザーを対象とするだけではなく、OfficeドキュメントのActiveXコントロールや埋め込みウェブページにも影響を及ぼします。パッチが適用されるまでは、攻撃側は、IEがデフォルトブラウザーではない場合であっても、強制的にIEが読み込みを行うようにできます。

緊急措置が必要

IEの使用を停止します。現時点で、Microsoftはいかなる声明やパッチも公開していません。何らかの理由でIEの使用を続ける必要がある場合は、ITセキュリティベストプラクティスに従います。

Microsoft 2018年5月のパッチでは、IE Double Kill脆弱性や他の重大なセキュリティ上の問題を含む67件のセキュリティに関する問題が修正されています。このパッチは2番目のゼロデイ(CVE-2018-8120)、つまりWin32kコンポーネントにおける特権昇格の脆弱性に対応しているため、可能なかぎり早急にこのパッチを適用してください。

Tenable® は、IE用にいくつかのl Nessus® およびNNM プラグイン を開発しています。これらは、レガシーブラウザーに潜む可能性がある脆弱性の発見、特定、評価をサポートするものです。

詳細はこちら:

Steve Tilson

Steve Tilson

Steve Tilson is a Rapid Response Manager for Tenable's Research Lab.  Tenable's Research Lab is a comprised of many highly talented engineers leading the Cyber Security Industry and Tenable's Cyber Exposure Process.  Previously working as an Information Security Content Analyst on the SecurityCenter Research Team, he developed Dashboards and Reports for Security Center CV and Tenable's revolutionary Tenable.io Cyber Exposure platform. Before joining Tenable, Steve worked for Accenture as an IT Manager and Network Lead for North America for many years.  As well, Steve has served as Director of Technology for Industrial fabrication and construction firms with multiple sites across the US. He has a extensive background in the architecture, maintenance, and management of large scale domains that include both network connectivity as well as all supporting systems on the local, national, and global scale.  

関連記事

Foreshadow: Speculative Execution Attack Targets Intel SGX

August 14, 2018

A flaw in Intel’s Software Guard Extensions implementation allows an attacker to access data stored in memory of other applications running on the same host, without the need for privilege escalation....

Ryan Seguin

Ryan Seguin

Advisory: Red Hat DHCP Client Command Injection Trouble

May 17, 2018

On May 15, Red Hat disclosed a critical vulnerability in a script included in NetworkManager for the Dynamic Host Configuration Protocol (DHCP) client on Red Hat Enterprise Linux (RHEL). The vulnerabi...

Steve Tilson

Steve Tilson

Advisory: Intel...Simply Misunderstood?

May 11, 2018

To close numerous security gaps, Microsoft, Adobe, Apple, Red Hat, Xen, VMware and other vendors have released a number of patches in the first 10 days of May. We discussed some of these in our recent...

Steve Tilson

Steve Tilson

Tenable Cloud Security Study Reveals a Whopping 95% of Surveyed Organizations Suffered a Cloud-Related Breach Over an 18-Month Period

May 14, 2024

The finding from the Tenable 2024 Cloud Security Outlook study is a clear sign of the need for proactive and robust cloud security. Read on to learn more about the study’s findings, including the main challenges cloud security teams face, their strategies for better protecting their cloud infrastructure and the tools they use to measure success.

Diane Benjuya

Diane Benjuya

Shifting the Paradigm: Why the Cyber Insurance Industry Should Focus on Preventive Security

May 13, 2024

As claims and losses climb, it’s clear that preventive security should be prioritized more when designing a cyber insurance policy. Here’s why preventive security investments are cost effective and can lead to lower premiums.

Ray Komar

Ray Komar

Cybersecurity Snapshot: New Guide Explains How To Assess if Software Is Secure by Design, While NIST Publishes GenAI Risk Framework

May 10, 2024

Is the software your company wants to buy securely designed? A new guide outlines how you can find out. Meanwhile, a new NIST framework can help you assess your GenAI systems’ risks. Plus, a survey shows a big disconnect between AI usage (high) and AI governance (low). And MITRE’s breach post-mortem brims with insights and actionable tips. And much more!

Juan Perez

Juan Perez

  • Plugins

役立つサイバーセキュリティ関連のニュース

Tenable エキスパートからのタイムリーな警告とセキュリティガイダンスを見逃さないように、メールアドレスをご入力ください。

無料でお試し 今すぐ購入

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する
無料でお試し 今すぐ購入

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する
無料でお試し 今すぐ購入

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する
無料でお試し 今すぐ購入

Tenable Web App Scanning を試す

Tenable One サイバーエクスポージャー管理プラットフォームの一部として、最新のアプリケーション向けに設計された最新のウェブアプリケーションスキャンサービスを完全な形でご利用いただけます。手作業による労力や重大なウェブアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable Web App Scanning トライアルには、Tenable Vulnerability Management と Tenable Lumin も含まれています。

Tenable Web App Scanning を購入

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDN

3,578ドル

今すぐ購入する

試用リクエスト送信 お問合せはこちらから

Tenable Lumin を試用する

Tenable Lumin で、サイバーエクスポージャー管理の視覚化と調査、経時的なリスク削減の追跡、同業他社とのベンチマークの実施が可能です。

Tenable Lumin トライアルには、Tenable Vulnerability Management と Tenable Web App Scanning も含まれています。

Tenable Lumin を購入する

営業担当者に連絡することで、Tenable Lumin がどのように組織全体のインサイトを獲得し、サイバーリスクを管理するのに役立つかをご確認いただけます。

無料でお試し 今すぐ購入

無料で Tenable Nessus Professional を試す

7 日間無料

Tenable Nessus は、今日の市場で最も包括的な脆弱性スキャナーです。

新 - Tenable Nessus Expert
利用可能に

Nessus Expert にはより多くの機能が追加されています。外部アタックサーフェスのスキャン機能や、スキャン対象となるドメインの追加とクラウドインフラのスキャンなどが含まれています。Nessus Expert を試してみるにはここをクリック。

Nessus Pro のトライアルをお求めの場合、下のフォームに入力してください。

Tenable Nessus Professional を購入

Tenable Nessus は、今日の市場で最も包括的な脆弱性スキャナーです。Tenable Nessus Professional は、脆弱性スキャンプロセスの自動化を支援し、コンプライアンスサイクルの時間を節約し、IT チームの関与を可能にします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加すると、24 時間x365 日、電話、コミュニティ、チャットサポートにアクセスできます。

ライセンスをお選びください

複数年ライセンスをご購入いただくと割引が適用されます。

サポートとトレーニングを追加

今すぐ購入する
既存のライセンスを更新する | リセラーを検索する
無料でお試し 今すぐ購入

無料で Tenable Nessus Expert を試す

7 日間無料

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

すでに Tenable Nessus Professional をお持ちですか?
Nessus Expert にアップグレードすると、7 日間無料でご利用いただけます。

Tenable Nessus Expert を購入

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

ライセンスをお選びください

複数年ライセンスの場合、よりお求めやすい価格でご購入いただけます。

サポートとトレーニングを追加

今すぐ購入する
既存のライセンスを更新する | リセラーを検索する