トレンドマイクロは、2013年11月27日に公開されたゼロデイ脆弱性「マイクロソフト セキュリティ アドバイザリ(2914486)」(「CVE-2013-5065」)を利用する攻撃コード(エクスプロイト)の検体を確認しました。Microsoft によると、この脆弱性は、WindowsXP および Windows Server 2003 に影響します。そして、この脆弱性は一般に「特権昇格」と呼ばれる脆弱性であり、この脆弱性の利用によって攻撃者は感染PC内でのデータの削除や表示、プログラムのインストール、また管理者権限を持つアカウントを作成することが可能となります。
弊社では、この脆弱性の攻撃コードが標的型攻撃事例で利用されたことを確認しています。この事例では、不正な PDFファイル(「TROJ_PIDEF.GUD」として検出)により、Adobe Reader および Adobe Acrobat に存在する脆弱性「CVE-2013-3346」を利用し不正コードを実行します。また同時に、今回確認されたゼロデイ脆弱性である「CVE-2013-5065」を利用して特権昇格を行います。この結果、侵入したPC 内にはバックドア型不正プログラム(「BKDR_TAVDIG.GUD」として検出)が作成されます。作成された「BKDR_TAVDIG.GUD」はファイルのダウンロードおよび実行、そして、コマンド&コントロール(C&C)サーバにシステム情報を送信するなどの活動を行います。
この事例から、ユーザは、Windows OS を最新のバージョンに更新する重要性を再認識することになるでしょう。昨年4月、Microsoft は、Windows XP のサポートを 2014年4月に終了することを発表しています。サポート終了後には脆弱性の修正は行われなくなるため、Windows XP を使用しているユーザは今回のような脆弱性を利用する攻撃に対して根本的な解決方法が無い、非常に危険な状態になります。
Windows XP および Windows Server 2003 より新しいバージョンを使用しているユーザは、この脅威の影響をうけることはありません。トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の「ファイルレピュテーション」技術により、この脅威に関連する不正プログラムを検出し、削除します。
なお、弊社では、引き続きこの脅威について監視しており、新たな解析結果が判明次第、本ブログを通じてお知らせします。また、この脅威に関する詳細な記事についても公開する予定です。
参考記事:
by Gelo Abendan (Technical Communications)
参考情報:
・Windows XP サポート終了を迎えるに当たりセキュリティ観点から必要なこととは
・Trend Micro Deep Security
・Trend Micro 脆弱性対策オプション
・Trend Micro Safe Lock
翻訳:船越 麻衣子(Core Technology Marketing, TrendLabs)
【更新情報】
| 2013/11/29 | 16:00 | 参考情報を追加しました。 |
| 2013/12/02 | 10:00 | トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」および「Trend Micro 脆弱性対策オプション(ウイルスバスター コーポレートエディション プラグイン製品)」をご利用のお客様は、以下のフィルタを適用することにより、問題のゼロデイ脆弱性を利用した攻撃から保護されます。
・1005801 – Microsoft Windows Kernel Elevation Of Privilege Vulnerability (CVE-2013-5065) |