Webアプリケーションの脆弱性とWindowsの権限昇格の脆弱性を組み合わせてサーバを乗っ取る攻撃が発生。ウイルス対策ソフトも機能しないという。
Webアプリケーションの脆弱性とWindowsの脆弱性を併用してサーバを乗っ取る攻撃が発生していると、SANS Internet Storm Centerがサイトで伝えた。手薄な防御が組み合わさると、システムを完全に制御されてしまいかねない実態が明らかになったと警鐘を鳴らしている。
この攻撃では、まずWebアプリケーションの脆弱性を突いて、リモートの攻撃者がサーバをコントロールできるASPXプログラムの「ASPXSpy」をアップロードする。これにより、Webブラウザを通じてファイルをアップロードして実行できるようになる。
この時点では、まだIISサービスが権限のないアカウントで実行されており、攻撃者がサーバを完全にはコントロールできない。次にWindowsのローカル権限昇格の脆弱性を突くエクスプロイトコードをアップロードしてサーバにバックドアを作成する。これでトロイの木馬やキーロガーを仕込める状態になる。
このWindowsの脆弱性は、Microsoftが2008年4月にアドバイザリーを公開して注意を促したもの。攻撃側は、著名な研究者が開発したコンセプト実証コード利用しているという。
最期の頼みの綱となるのはウイルス対策プログラムだが、SANSの研究者が調べたところ、この攻撃に使われた悪用コードを検出できたウイルス対策ソフトウェアは1つもなかったという。
こうした攻撃を防ぐためにはWebアプリケーションのセキュリティに細心の注意を払い、Microsoftがこの脆弱性を解決してローカル権限の脆弱性にもっと目を向ける必要があるとSANS研究者は指摘。また、ウイルス対策ソフトウェアメーカーはエクスプロイト研究をフォローして、事後対策だけでなく事前対策にも力を入れるべきだと促している。
Copyright © ITmedia, Inc. All Rights Reserved.