Authenticode 署名検証の古い脆弱性、最近のバンキングマルウェアキャンペーンで使われる 8
ストーリー by headless
影響 部門より
影響 部門より
繰り返し発生しているバンキングマルウェア ZLoader による攻撃キャンペーンだが、最近のキャンペーンでは Windows で 2013 年に確認された Authenticode 署名検証の脆弱性が使われているそうだ
(Check Point Research の記事、
HackRead の記事)。
この脆弱性 CVE-2013-3900 は WinVerifyTrust 関数が Authenticode 署名を検証する際、実行ファイル (PE ファイル) のダイジェストを適切に確認しないことにより引き起こされ、攻撃者は細工した実行ファイルを用いて任意コードの実行が可能になるというもの。Microsoft は署名検証を厳格化する設定のデフォルト有効化計画を示していたが、既存のソフトウェアへの影響が大きいとして見送られた。
この脆弱性の影響を受けるのは Windows XP から Windows 8.1 までのバージョンだが、他 2 件の脆弱性 CVE-2012-0151 と CVE-2020-1599 にも関連するとされ、後者ではWindows 10も対象になる。キャンペーンのターゲットになっている Windows バージョンは具体的に示されていないが、少なくとも署名検証を厳格化するレジストリ値は Windows 11 でもセットされていない。
この脆弱性 CVE-2013-3900 は WinVerifyTrust 関数が Authenticode 署名を検証する際、実行ファイル (PE ファイル) のダイジェストを適切に確認しないことにより引き起こされ、攻撃者は細工した実行ファイルを用いて任意コードの実行が可能になるというもの。Microsoft は署名検証を厳格化する設定のデフォルト有効化計画を示していたが、既存のソフトウェアへの影響が大きいとして見送られた。
この脆弱性の影響を受けるのは Windows XP から Windows 8.1 までのバージョンだが、他 2 件の脆弱性 CVE-2012-0151 と CVE-2020-1599 にも関連するとされ、後者ではWindows 10も対象になる。キャンペーンのターゲットになっている Windows バージョンは具体的に示されていないが、少なくとも署名検証を厳格化するレジストリ値は Windows 11 でもセットされていない。
Windows XP から Windows 8.1 まで (スコア:0)
単に2013年にはまだWindows 10が存在しなかっただけでは?
Re: (スコア:0)
なんでWindows XPが影響を受けることを調べているのだろう?
Re: (スコア:0)
そりゃあ今でも使われてるからだろ
Re: (スコア:0)
だから2013年にはWindows XPがまだサポートされてたから。
Re: (スコア:0)
XPって2014年4月9日までサポートか。
Re: (スコア:0)
要するに当時サポートされていたすべてのバージョンのWindowsが影響を受けていたし、おそらくWindows 2000以前も影響を受けていたし、タレコミにある通りMicrosoftがあえてデフォルト有効化しなかったからWindows 10もデフォルトで影響を受けるのでほぼ意味がない情報。
Re: (スコア:0)
NT 4.0以前にはAuthenticodeはなかったような気がします(2000にはありましたね)。
Re: (スコア:0)
Windows Updateで署名検証が付いたのでその辺から有りそうかな。