Tenable ブログ
ブログ通知を受信するなぜIEを使い続けるのか?Double Killはまさに最新の問題
[更新] この警告を1週間前にリリースしたとき、勢いを増して大きな問題になると予想しました。予想どおり、Microsoftは月例パッチでこの脆弱性に対応しました。このパッチでは多くの点が扱われていますが、最も重要な修正はCVE-2018-8174に関するものです。このCVEは「Windows VBScriptエンジンのリモートでコードが実行される脆弱性」です。Double Kill IEゼロデイ脆弱性とも言われています。
MicrosoftのレガシーブラウザーInternet Explorer(IE)は30年近く使われていますが、問題がないわけではありません。IEには非常に多くのセキュリティ問題があります。そのためMicrosoftは新たにEdgeという安全なブラウザーを作っているほどです。しかし、それでもまだいくつかの問題があります。Edgeは先進的なテクノロジーを採用しているため、IEに搭載されていた一部の従来の機能がサポートされていません。そのため、IEは未だにすべてのWindowsオペレーティングシステムにインストールされています。 そしてあらためて、IEは攻撃者によって実際に悪用されています。その様子は、中国のセキュリティ会社Qihooによって検出、観測されています。Qihooは、この新たなゼロデイ脆弱性をDouble Killと呼んでいます。彼らは、Double Killが高度な持続型脅威(APT: Advanced Persistent Threat)であり、標的とするシステムに継続的にアクセスすることを狙うものだと考えています。
影響の評価
現時点では、技術上の詳細やPOCはまだ公開されていません。しかし、Qihoo360は次のように述べています 。Double Killは、Microsoft Word文書(通常、電子メールの添付ファイルとして送信されます)を攻撃経路として使用し、IEの脆弱性を突いている。さらにQihoo360は、その文書にはいくつかの不特定な種類のシェルコードが含まれているとも述べています。何らかの方法によってバックグラウンドプロセスで起動したInternet Explorerは、実行可能プログラムをダウンロードして実行します。ユーザーの目に見える警告は表示されません。Double Killを含む悪意のある文書が開かれると、攻撃者は気づかれることなく標的のコンピューターを制御できるようになり、いつでも秘密裏にランサムウェアの感染、盗聴、データ漏洩を引き起こせるようになります。
この脆弱性は現在広く悪用されています。システムが脆弱な場合、攻撃側は、悪意のあるコードをリモートで実行することによって、影響が及ぶシステムをリモートで乗っ取ることができます。この攻撃は現時点では2つの方法で可能です。1つは侵害されたウェブサイト経由で、もう1つは悪意のあるMicrosoft Officeドキュメントを介してです。
脆弱性の詳細
通常、この種の攻撃は、スピアフィッシングの試みから始まります。スピアフィッシングとは、特定の組織や個人を標的としたEメールによる一種のなりすまし攻撃です。これが成功すると、標的となった人は信頼された送信元からのメールだと思い込み、そうと知らずに添付されたWord文書に埋め込まれたマルウェアを有効化してしまう場合があります。多くの攻撃シナリオでは、検知を避けるため、攻撃者はすばやく侵入してすばやく立ち去ります。APTにおける攻撃者の目的は、標的に対する継続的なアクセスを行うことです。
VBScriptエンジンのこの脆弱性は、以前のブラウザーの脆弱性と似ています。分析によると、最も広く見受けられる攻撃は埋め込みのウェブページを含む、WordなどのOfficeドキュメントを配布する方法です。
悪用
問題のWord文書は、自動的にコンピューターにダウンロードされることはないので、ユーザーの操作が必要になります。ユーザーはIEを使って感染したファイルを開く必要があります。それによって、悪意のあるウェブページが開かれます。マルウェアは、ユーザーアカウント制御をすり抜け、ファイルステガノグラフィー(ファイルやメッセージ、イメージに別のファイルやメッセージ、イメージを埋め込むこと)を使います。
また、攻撃側は、Microsoft OfficeドキュメントやIEレンダリングエンジンをホストするアプリケーションに、「初期化しても安全」とマークされたActiveXコントロールを埋め込むという方法を利用することもあります。そうしたドキュメントを開くと、コードが実行されます。これは極めて危険です。単にブラウザーを対象とするだけではなく、OfficeドキュメントのActiveXコントロールや埋め込みウェブページにも影響を及ぼします。パッチが適用されるまでは、攻撃側は、IEがデフォルトブラウザーではない場合であっても、強制的にIEが読み込みを行うようにできます。
緊急措置が必要
IEの使用を停止します。現時点で、Microsoftはいかなる声明やパッチも公開していません。何らかの理由でIEの使用を続ける必要がある場合は、ITセキュリティベストプラクティスに従います。
Microsoft 2018年5月のパッチでは、IE Double Kill脆弱性や他の重大なセキュリティ上の問題を含む67件のセキュリティに関する問題が修正されています。このパッチは2番目のゼロデイ(CVE-2018-8120)、つまりWin32kコンポーネントにおける特権昇格の脆弱性に対応しているため、可能なかぎり早急にこのパッチを適用してください。
Tenable® は、IE用にいくつかのl Nessus® およびNNM プラグイン を開発しています。これらは、レガシーブラウザーに潜む可能性がある脆弱性の発見、特定、評価をサポートするものです。
詳細はこちら:
- Qihoo 360 ブログポスト
- 最新のアタックサーフェスを総合的に管理する初のサイバーエクスポージャープラットフォームである Tenable.io®の詳細情報
- 今すぐTenable.io Vulnerability Managementの60日間無料トライアルをお試しください!
関連記事
- Plugins