ニュース
「EMETを使ってEMETを無効化」、Microsoftが脆弱性に対処
EMETの内部にあるコードを利用して、EMETを簡単に迂回あるいは無効化できてしまう脆弱性が発覚した。
セキュリティ企業のFireEyeは2月23日、米Microsoftの脆弱性緩和ツール「EMET」を簡単に迂回あるいは無効化できてしまう攻撃手法を発見したと報告した。リモートの攻撃者にシステムを制御される可能性もあるとされ、Microsoftは1月29日に公開した更新版の「EMET 5.5」でこの脆弱性を修正している。
FireEyeのブログによると、EMETの内部には、EMETによる保護を体系的に無効化するためのコードが存在している。その目的はプログラムを元の状態に戻すことにあるが、この機能の場所を特定して呼び出すだけで、EMETを完全に無効にできてしまうことが分かった。
攻撃は、過去に発覚した解決済みの脆弱性「CVE-2012-1876」を悪用する手口と組み合わせて実行され、EMET 4.1、5.1、5.2、5.2.0.1の全バージョンに対して通用することを確認したという。FireEyeでは「EMETを使ってEMETの保護を解除する今回の手口は、これまで公開されていたEMET無効化や迂回の手口に比べ、はるかに簡単で確実性が高い」と解説している。
関連記事
- Microsoftがセキュリティツール「EMET 5.1」公開、互換性問題を修正
11月のIEのセキュリティ更新プログラムとの間に互換性問題が見つかっているため、EMET 5.1のインストールは特に重要だとMicrosoftは強調している。 - Microsoft、脆弱性緩和ツール「EMET 5.0」を正式公開
「EMET 5.0」では新たに「Attack Surface Reduction」「Export Address Table Filtering Plus」などの新機能が加わった。 - Microsoftの「EMET」に迂回される問題、次期版で解決へ
脆弱性悪用防止ツール「EMET」が迂回されてしまう問題をセキュリティ企業が報告。Microsoftは次期版で問題解決にあたるという。 - Microsoft OLEにゼロデイ脆弱性、PowerPoint悪用の標的型攻撃も
Windows Server 2003を除く現在サポートされている全てのWindowsに影響するといい、限定的な標的型攻撃も発生している。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.