ウイルス対策ソフトが機能せず、サーバを乗っ取る攻撃発生:WebアプリやWindowsの脆弱性を併用
Webアプリケーションの脆弱性とWindowsの権限昇格の脆弱性を組み合わせてサーバを乗っ取る攻撃が発生。ウイルス対策ソフトも機能しないという。
Webアプリケーションの脆弱性とWindowsの脆弱性を併用してサーバを乗っ取る攻撃が発生していると、SANS Internet Storm Centerがサイトで伝えた。手薄な防御が組み合わさると、システムを完全に制御されてしまいかねない実態が明らかになったと警鐘を鳴らしている。
この攻撃では、まずWebアプリケーションの脆弱性を突いて、リモートの攻撃者がサーバをコントロールできるASPXプログラムの「ASPXSpy」をアップロードする。これにより、Webブラウザを通じてファイルをアップロードして実行できるようになる。
この時点では、まだIISサービスが権限のないアカウントで実行されており、攻撃者がサーバを完全にはコントロールできない。次にWindowsのローカル権限昇格の脆弱性を突くエクスプロイトコードをアップロードしてサーバにバックドアを作成する。これでトロイの木馬やキーロガーを仕込める状態になる。
このWindowsの脆弱性は、Microsoftが2008年4月にアドバイザリーを公開して注意を促したもの。攻撃側は、著名な研究者が開発したコンセプト実証コード利用しているという。
最期の頼みの綱となるのはウイルス対策プログラムだが、SANSの研究者が調べたところ、この攻撃に使われた悪用コードを検出できたウイルス対策ソフトウェアは1つもなかったという。
こうした攻撃を防ぐためにはWebアプリケーションのセキュリティに細心の注意を払い、Microsoftがこの脆弱性を解決してローカル権限の脆弱性にもっと目を向ける必要があるとSANS研究者は指摘。また、ウイルス対策ソフトウェアメーカーはエクスプロイト研究をフォローして、事後対策だけでなく事前対策にも力を入れるべきだと促している。
関連記事
- Windowsに権限昇格の脆弱性
Microsoftは現時点ではこの脆弱性を悪用した攻撃は把握していない。 - セキュリティ専門家、「Windows Server 2008」のセキュリティ設計に脆弱性を発見
Argenissの創立者であるシーザー・セルード氏が、「Windows Server 2008」に深刻な設計上の脆弱性があることを突き止めた。高いスキルを持つハッカーであれば、これを悪用して同オペレーティングシステムの完全な制御権を奪えるという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.