ニュース
WindowsのPatchGuardを迂回する新手法「GhostHook」、セキュリティ企業が報告
「GhostHook」の攻撃手法を使えば、攻撃に気付かれないままシステムに潜伏し、64ビットシステムをカーネルレベルで完全に制御することも可能だとCyberArkは解説している。
セキュリティ企業のCyberArkは6月22日、64ビット版のWindowsに搭載されているカーネル保護技術「PatchGuard」(別名Kernel Patch Protection)を迂回(うかい)できてしまう新しい攻撃手法を発見し、「GhostHook」と命名したと発表した。攻撃者がPatchGuardを迂回できれば、管理者権限を奪取しやすくなる恐れもあるとしている。
CyberArkによると、Windows 10でPatchGuardを迂回できる攻撃手法が報告されたのは初めてだという。ただしGhostHookの攻撃手法を利用するためには、攻撃者が既に標的とするシステムに侵入し、制御している必要がある。
しかしこの手法を使えば、攻撃に気づかれないままシステムに潜伏し、64ビットシステムをカーネルレベルで完全に制御することも可能だとCyberArkは解説。国家が関与して特定の標的を執拗(しつよう)に狙うAPT攻撃に使われるような、高度な64ビットマルウェアの氾濫につながる可能性もあるとしている。
CyberArkによれば、Microsoftはこの攻撃手法について、「攻撃者がシステム上で既にカーネルコードを実行している必要があるので、セキュリティアップデートを提供する基準には満たない。しかしWindowsの今後のバージョンで対応する可能性はある」とコメントしているという。
関連記事
- 「NSAのハッキングツール」新たに大量流出 Windowsの脆弱性悪用も
Microsoftによると、ハッキングツールで悪用されていた脆弱(ぜいじゃく)性の大半はすでに修正されている。国際間の銀行決済に使われるSWIFTのシステムがNSAの標的になっていたとの情報もある。 - Microsoft、5月の月例セキュリティ更新プログラム公開
OfficeやWindowsの脆弱(ぜいじゃく)性は、狙った相手に不正なWord文書を電子メールで送り付ける標的型攻撃に利用されていた。 - Microsoft、4月の月例更新を公開 Windows Vistaの更新は今回が最後
Windows Vistaは今回が最後の更新プログラムとなる。以後はサポートが打ち切られ、たとえ脆弱性が発覚したとしても、Vistaは修正の対象から除外される。 - Vistaの「PatchGuard」機能を回避する製品が登場
Authentiumの「Authentium ESP Enterprise Platform」は、Vistaに搭載される「PatchGuard」カーネル保護技術を無効化することができるという。カーネルへのアクセス解禁を求めているSymantecやMcAfeeなどのセキュリティ企業とは異なり、単に同機能を回避する技術を開発しただけだと、同社の関係者は説明している。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.