ニュース
» 2017年06月23日 08時40分 UPDATE

WindowsのPatchGuardを迂回する新手法「GhostHook」、セキュリティ企業が報告

「GhostHook」の攻撃手法を使えば、攻撃に気付かれないままシステムに潜伏し、64ビットシステムをカーネルレベルで完全に制御することも可能だとCyberArkは解説している。

[鈴木聖子,ITmedia]

 セキュリティ企業のCyberArkは6月22日、64ビット版のWindowsに搭載されているカーネル保護技術「PatchGuard」(別名Kernel Patch Protection)を迂回(うかい)できてしまう新しい攻撃手法を発見し、「GhostHook」と命名したと発表した。攻撃者がPatchGuardを迂回できれば、管理者権限を奪取しやすくなる恐れもあるとしている。

CyberArkの報告 CyberArkが64ビット版のWindowsに搭載されているカーネル保護技術「PatchGuard」(別名Kernel Patch Protection)を迂回できてしまう新しい攻撃手法を発見

 CyberArkによると、Windows 10でPatchGuardを迂回できる攻撃手法が報告されたのは初めてだという。ただしGhostHookの攻撃手法を利用するためには、攻撃者が既に標的とするシステムに侵入し、制御している必要がある。

 しかしこの手法を使えば、攻撃に気づかれないままシステムに潜伏し、64ビットシステムをカーネルレベルで完全に制御することも可能だとCyberArkは解説。国家が関与して特定の標的を執拗(しつよう)に狙うAPT攻撃に使われるような、高度な64ビットマルウェアの氾濫につながる可能性もあるとしている。

 CyberArkによれば、Microsoftはこの攻撃手法について、「攻撃者がシステム上で既にカーネルコードを実行している必要があるので、セキュリティアップデートを提供する基準には満たない。しかしWindowsの今後のバージョンで対応する可能性はある」とコメントしているという。

CyberArk

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -