Windowsの自動更新機能を悪用し、ファイアウォールに妨げられることなく悪質ファイルをダウンロードしてしまうマルウェアが現れた。
Windowsの自動更新に使われるWindows Updateを悪用し、ファイアウォールをすり抜けてしまうマルウェアが現れた。セキュリティ企業のSymantecが5月10日のブログで報告している。
Symantecによると、ドイツで3月末にスパムメールでばら撒かれたトロイの木馬を研究者が分析したところ、Windowsの「Background Intelligent Transfer Service」(BITS)というコンポーネントを使ってファイルをダウンロードする機能を持つことが分かった。
BITSはWindows UpdateでパッチをダウンロードしてOSを最新状態に保つために使われているサービス。バックグラウンドで動作して、ネットワークの帯域幅を消費することなくパッチや更新ファイルをダウンロードする。
ところがHTTPをサポートし、COM API経由でプログラムできるBITSの機能を逆手に取ると、マルウェアのファイルをWindowsにダウンロードさせることもできてしまうという。
BITSサービスはOSの一部であるため信頼できるものとみなされ、ファイアウォールに妨げられることなくファイルをダウンロードさせることが可能になる。今回見つかったトロイの木馬はCOMインタフェース経由でBITSコンポーネントにアクセスし、ファイルの設定を行っていたという。
BITSでダウンロードすべきものとすべきでないものをチェックするのは容易でなく、現時点でこの種の攻撃をかわす手段はないとSymantecは解説。高い権限でしかBITSインタフェースにアクセスできないように設計するか、BITSのダウンロードを信頼できるURLのみに限定すべきかもしれないと指摘している。
アンダーグラウンドではBITSダウンロードの手口について解説した文書が出回っており、2006年末のロシアのフォーラムでも紹介されたという。
Copyright © ITmedia, Inc. All Rights Reserved.