0001樽悶 ★
2021/06/16(水) 21:48:11.70ID:4bFMRoNA9同社によると、これら攻撃はすべて「Chrome」のJavaScriptエンジン「V8」に含まれる「Type Mismatch」(型の取り違え)の欠陥(CVE-2021-21224)を突いて行われている。「Chrome」がコンテンツを描画するレンダラープロセスを乗っ取ることが可能で、これを糸口に以下の2件のWindowsの脆弱性を組み合わせて攻撃を成功させているようだ。
・CVE-2021-31955:「Windows Vista」で導入されたキャッシュメモリを管理する「SuperFetch」機能に関する脆弱性
・CVE-2021-31956:NTFSファイルシステムに存在するヒープベースのバッファオーバーフロー。通知機能「Windows Notification Facility」(WNF)と組み合わせ、任意の基本データ型メモリ読み取り・書き込みを作成し、システム権限でマルウェアモジュールを実行する
標的システムに植え付けられたマルウェアモジュールは、リモートサーバーから「ドロッパー」と呼ばれるモジュールをダウンロード・実行する。このドロッパーはOSの正規ファイルに見せかけた実行ファイルをインストールし、ファイルのダウンロードやアップロード、プロセスの作成、一定時間のスリープ、感染したシステムから自身の削除など、攻撃に必要な処理を実行させる。
「Chrome」側の欠陥は、先日のアップデートで修正済み。「Chromium」「V8」を共有する「Microsoft Edge」でも対策が施されている。
また、Windows側の脆弱性も今月の月例セキュリティアップデートで対処されている。まだ適用していないユーザーは、できるだけ早く対応すべきだろう。
Impress Watch 6/15(火) 6:45配信
https://headlines.yahoo.co.jp/hl?a=20210615-00000013-impress-sci
https://amd-pctr.c.yimg.jp/r/iwiz-amd/20210615-00000013-impress-000-1-view.jpg