パスワードを忘れた? アカウント作成
13707907 story
Windows

Windowsのタスクスケジューラのゼロデイ脆弱性、攻撃が確認される 16

ストーリー by headless
攻撃 部門より
先日公表されたWindowsのタスクスケジューラに存在するゼロデイ脆弱性を狙う攻撃が確認された(WeLiveSecurityの記事BetaNewsの記事The Registerの記事)。

この脆弱性はタスクスケジューラによるAdvanced Local Procedure Call(ALPC)の処理に存在し、管理者権限がなくても「C:\Windows\Tasks」に任意のファイルのハードリンクを作成してDACLを変更し、元のファイルを置き換えることが可能になるというものだ。攻撃者は高い権限で自動実行されるファイルを置き換えることで、ローカルでの権限昇格が可能だ。

ローカルでの権限昇格なので、Webサイトから直接攻撃するといったことはできないが、メールでエクスプロイトを送り付け、ユーザーをだまして実行させれば脆弱性を悪用した攻撃が可能となる。ESETが発見した攻撃はPowerPoolというグループによるものだ。大規模なスパムキャンペーンではなく、攻撃相手を厳選しているものとみられ、被害件数は少ないようだ。攻撃対象国にはチリ、ドイツ、インド、フィリピン、ポーランド、ロシア、英国、米国、ウクライナが含まれるとのこと。

PowerPoolでは脆弱性公表者がGitHubで公開(現在は削除)していたエクスプロイトのソースコードを改造し、Google製アプリケーションの更新に使われるGoogleUpdate.exeをマルウェアに置き換えている。攻撃は被害者のPCが情報収集に値するかどうかを調べてC&Cサーバーに送るバックドア第1段と、第1段の結果によって送り込まれるバックドア第2段の二段構えになっており、バックドア第2段はさまざまなオープンソースツールを利用して被害者のPCからパスワードなどを盗み出すとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2018年09月08日 13時54分 (#3476733)

    メールに添付ファイルがあったら削除する運用でいいんじゃないかなあ。
    もしくは外部から入手したexeは実行できなくするとか。
    まあ、今でも警告は出るんだけど、実行しちゃう人もいるので。

    • by Anonymous Coward on 2018年09月09日 8時52分 (#3477126)

      どことは言いませんが、「暗号化ソフトも圧縮ソフトも、送信相手がそれを持っているとは限らない」という都合で、アタッシェケース [hibara.org] やら 秘文 [hitachi-solutions.co.jp] やらの自己展開書庫を送る明文ルールになってるところがけっこうあるんですよ。

      相手のことを考えた親切設計なのはいいのですが、exeファイルでそれらのアイコンを設定すれば、容易にウイルスやらマルウェアやらを潜り込ませ放題だったりします。しかもそれが国内のルールを決める(なので下請けも従わざるを得ない)官公庁だったりもするわけで・・・

      最近はOffice OnlineやOutlookを経由すると、exeファイルを送ったり受け取ったりすることができないことから、わざわざ.exeを.ex_のようにリネームして送るルールが追加され、本文には「.ex_を.exeに変更して実行してね」って記述するようにもなっていたりします。

      親コメント
    • by Anonymous Coward

      んでウイルス入りファイルのリンク付きメールが飛んでくると

    • by Anonymous Coward

      自動システム以外とのメール交換禁止で

    • by Anonymous Coward

      ワザワザ電話かけて言われるがままにマルウェアインストールする人居るのでムダです。

  • by Anonymous Coward on 2018年09月08日 14時35分 (#3476745)

    金を払うような価値はない、そもそも管理者権限がなきゃタスクスケジューラは使えないし、報告者は大騒ぎしすぎ。っていう論調じゃなかった?

    • by Anonymous Coward on 2018年09月08日 21時22分 (#3476946)

      メールでの添付ファイル経由での攻撃と組み合わせるなら、Linux界隈にも権限昇格が絡む脆弱性がゴロゴロ転がってるんですが…

      親コメント
    • by Anonymous Coward

      確かに。知ったかぶりしている人の意見には気をつけないといけないね。能力がない人は結果的に想像力にも欠けることになるよね。

    • by Anonymous Coward

      uacオフの謎の会社は多い

      • by Anonymous Coward

        用意されたセキュリティ機能をことごとくOFFにして問題があれば「Windowsだから仕方ない」とか「マイクロソフトは余計なことをする」とか
        管理者クラスの年齢層はMS一強時代が現役だった人が多いせいか思考停止に陥ってる組織が多いんですよね
        そういうとこはLinuxなら金が一切かからないとかライセンスやセキュリティに対する意識が前時代的だったりするので、そのうち問題になって滅びるか自滅するでしょうけど

    • by Anonymous Coward

      論調とは? 賛同すべき正解を指示して欲しいのかな?

      報告者が異常にがめつかっただけで、特に脆弱性として軽視して良い要素はないよ。

    • by Anonymous Coward

      報告者がMSに提示された金額に納得いかないからって公開して、
      MS側としては緊急性はないけど対策はするってスタンスでの発表だったでしょ
      今回のゼロデイ攻撃においても、すでにGoogleUpdate.exeを管理者権限で実行するようになっていないと使えない手だし

    • by Anonymous Coward

      そうだし、今も変わってないよ。
      ぶっちゃけ権限昇格の脆弱性なんてサードパーティアプリを含めればいっぱいある。
      フィッシング攻撃と組み合わせるのは予想の範囲内。これにびっくりしているセキュリティ専門家は一人もいない。
      Windowsアンチが大喜びで(重要性もないのに)わめいているだけ。

  • by Anonymous Coward on 2018年09月10日 10時04分 (#3477593)

    別途不具合も報告されているらしい。
    さっさと直すべきマイクロソフト!。
    フィードバックにも投稿しといた。

typodupeerror

アレゲは一日にしてならず -- アレゲ見習い

読み込み中...