露Kasperskyは6月8日(現地時間)、「Windows」と「Google Chrome」のゼロデイ脆弱性を組み合わせた高度な標的型攻撃が観測されたと発表した。4月中旬より複数の企業が被害に遭っているとして、この攻撃を「PuzzleMaker」と名付けて注視しているという。
同社によると、これら攻撃はすべて「Chrome」のJavaScriptエンジン「V8」に含まれる「Type Mismatch」(型の取り違え)の欠陥(CVE-2021-21224)を突いて行われている。「Chrome」がコンテンツを描画するレンダラープロセスを乗っ取ることが可能で、これを糸口に以下の2件のWindowsの脆弱性を組み合わせて攻撃を成功させているようだ。
・CVE-2021-31955:「Windows Vista」で導入されたキャッシュメモリを管理する「SuperFetch」機能に関する脆弱性
・CVE-2021-31956:NTFSファイルシステムに存在するヒープベースのバッファオーバーフロー。通知機能「Windows Notification Facility」(WNF)と組み合わせ、任意の基本データ型メモリ読み取り・書き込みを作成し、システム権限でマルウェアモジュールを実行する
標的システムに植え付けられたマルウェアモジュールは、リモートサーバーから「ドロッパー」と呼ばれるモジュールをダウンロード・実行する。このドロッパーはOSの正規ファイルに見せかけた実行ファイルをインストールし、ファイルのダウンロードやアップロード、プロセスの作成、一定時間のスリープ、感染したシステムから自身の削除など、攻撃に必要な処理を実行させる。
「Chrome」側の欠陥は、先日のアップデートで修正済み。「Chromium」「V8」を共有する「Microsoft Edge」でも対策が施されている。
また、Windows側の脆弱性も今月の月例セキュリティアップデートで対処されている。まだ適用していないユーザーは、できるだけ早く対応すべきだろう。
Impress Watch 6/15(火) 6:45配信
https://headlines.yahoo.co.jp/hl?a=20210615-00000013-impress-sci
https://amd-pctr.c.yimg.jp/r/iwiz-amd/20210615-00000013-impress-000-1-view.jpg
同社によると、これら攻撃はすべて「Chrome」のJavaScriptエンジン「V8」に含まれる「Type Mismatch」(型の取り違え)の欠陥(CVE-2021-21224)を突いて行われている。「Chrome」がコンテンツを描画するレンダラープロセスを乗っ取ることが可能で、これを糸口に以下の2件のWindowsの脆弱性を組み合わせて攻撃を成功させているようだ。
・CVE-2021-31955:「Windows Vista」で導入されたキャッシュメモリを管理する「SuperFetch」機能に関する脆弱性
・CVE-2021-31956:NTFSファイルシステムに存在するヒープベースのバッファオーバーフロー。通知機能「Windows Notification Facility」(WNF)と組み合わせ、任意の基本データ型メモリ読み取り・書き込みを作成し、システム権限でマルウェアモジュールを実行する
標的システムに植え付けられたマルウェアモジュールは、リモートサーバーから「ドロッパー」と呼ばれるモジュールをダウンロード・実行する。このドロッパーはOSの正規ファイルに見せかけた実行ファイルをインストールし、ファイルのダウンロードやアップロード、プロセスの作成、一定時間のスリープ、感染したシステムから自身の削除など、攻撃に必要な処理を実行させる。
「Chrome」側の欠陥は、先日のアップデートで修正済み。「Chromium」「V8」を共有する「Microsoft Edge」でも対策が施されている。
また、Windows側の脆弱性も今月の月例セキュリティアップデートで対処されている。まだ適用していないユーザーは、できるだけ早く対応すべきだろう。
Impress Watch 6/15(火) 6:45配信
https://headlines.yahoo.co.jp/hl?a=20210615-00000013-impress-sci
https://amd-pctr.c.yimg.jp/r/iwiz-amd/20210615-00000013-impress-000-1-view.jpg