LNKショートカットファイルを使用する新たなゼロデイエクスプロイトがSCADAシステムを狙っている。SCADAのセキュリティが話題となりそうだ。
Windowsショートカットに存在する、これまで知られていなかった欠点を利用することでUSBストレージデバイスを介して広がる、新たな脅威が登場した。
われわれは同ショートカットLNKエクスプロイトの検出を「Exploit:W32/WormLink.A」として追加した。このケースで使用されるショートカットファイルは4.1Kバイトだ。Trojan-Dropper、バックドア、ルートキットと結びついたファイルは、Stuxnetファミリーとして検出される。
われわれは昨日、2つの興味深い点に言及した。同ルートキットが署名されているという点、SCADAシステムを標的としているという点だ。
同ルートキットコンポーネントは、デジタル署名されており、われわれは有効なRealtek Semiconductor社のシグネチャが使用されていることを確認した。Trojan-Dropper自身は、デジタル署名をコピーしようとするだけなのに対して、ドロップされるドライバは適切に署名されている。
いずれにせよ、有効ではあっても証明書は6月に失効している。「H Security」が同証明書のスクリーンショットを掲載している。
有効なデジタル署名を用いた悪意あるソフトウェアについては、F-Secureのヤルノ・ニエメラが先ごろ、「Caro 2010 Workshop」のプレゼンテーション(署名されているのだからクリーンでしょう?)で予測していた。
標的にされているSCADAシステムに関して、Siemens SIMATIC WinCCデータベースは、エンドユーザーが変更しないように言われるハードコードされた管理ユーザー名とパスワードの組み合わせを使用しているようだ。
従って、この標的型攻撃により障害が起きた組織は、データベースのセキュリティ侵害に対して完全に脆弱である可能性がある。Slashdotのコメントに付加的な詳細が掲載されている。
われわれは今後も同ケースについて進展があり次第、詳細を報告する予定だ。
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
Copyright © ITmedia, Inc. All Rights Reserved.