セキュリティエンジニアが現在直面している1つの質問は、MicrosoftのSilverlightに関するものです。. お気づきかもしれませんが, MSは、火曜日の1月12日のパッチで、Silverlightの重大な脆弱性にパッチを適用しました。:
MS16-006: リモートコード実行に対処するためのSilverlightのセキュリティ更新, KBとしても利用可能 3126036
これは、セキュリティ情報でMSによって提供されたMS16-006の公式の説明です。:
このセキュリティ更新プログラムは、MicrosoftSilverlightの脆弱性を解決します. この脆弱性により、ユーザーが特別に細工されたSilverlightアプリケーションを含む侵害されたWebサイトにアクセスした場合、リモートでコードが実行される可能性があります。. 攻撃者には、侵害されたWebサイトへのアクセスをユーザーに強制する方法はありません。. その代わり, 攻撃者は、ユーザーにWebサイトにアクセスするように説得する必要があります, 通常、ユーザーを攻撃者のWebサイトに誘導する電子メールまたはインスタントメッセージ内のリンクをクリックさせることによって.
詳細については 1月 12 火曜日のパッチ
セキュリティの専門家を悩ますもの, カスペルスキーラボの研究者のように, これは、Silverlightエクスプロイトが少数の攻撃で使用されているにもかかわらずです。, そのような攻撃が広まるまで、それほど時間はかかりません。. 専門家が指摘したように, MicrosoftはSilverlightのエクスプロイトについてほとんど語っていません.
Silverlightの脆弱性が潜在的な脅威である理由?
Silverlightの脆弱性は、FlashPlayerのセキュリティバグと非常に似ている可能性があります. 十分に訓練されたマルウェア攻撃者が、さまざまなブラウザやプラットフォームを実行している被害者を攻撃できるようになります。. Kasperskyの研究者はそのような攻撃を観察しており、今のところ攻撃者はWindowsコンピューターのみを標的としています。. でも, わずかな調整で, 攻撃者はMacOSXやその他のプラットフォームを標的にし始める可能性があります. 一般的に発生するのは、ユーザーがスピアフィッシングスキームにだまされたり、ドライブバイダウンロードの犠牲になったりすることです。. どちらのシナリオでも, マルウェアアクターは、脆弱なWebサーバーに悪意のあるSilverlightアプリをドロップします.
Silverlightがこれほど大したことを悪用するのはなぜですか? これは、KasperskyLabの研究者であるBrianBartholomewが言っていることです。:
それは大したことです; Silverlightの脆弱性はそれほど頻繁には発生しません. ゼロデイ自体の悪用はかなり技術的です, しかし、概念実証が自分のしていることを知っている誰かの手に渡り、パッチをリバースエンジニアリングすると, 武器化されたバージョンを作成することはそれほど難しくありません.
さらに, 標的型攻撃に適用されたエクスプロイトは、現在アクティブなエクスプロイトキットに「転送」され、さまざまな悪意のある操作に利用できるようになる可能性もあります。.
Silverlightのバグは、KasperskyLabの研究者であるCostinRaiuとAntonIvanovによってMicrosoftに報告されました。. 彼らの注意は、ロシアのハッカーから送信された電子メールによって捕らえられました (Vitaliy Toropov) 彼らの悪名高い違反の間にハッキングチームに, 彼はSilverlightのゼロデイ脆弱性を売りに出していると主張している. さらに, バグは少なくとも2年前のものでした 2013. ハッカーは、ゼロデイが長期間検出されない可能性があるとさえ信じていました.
これは、Vitaliyとのコミュニケーションの一部です。 ArsTechnica:
iOS 7 / OSXSafariの新しいゼロデイ攻撃または作成された私の古いSilverlightエクスプロイトをお勧めします 2.5 数年前、そして来年もさらに生き残るチャンスがあります.
パッチが適用されたSilverlightエクスプロイトは1つだけですか?
バーソロミューによると, Kasperskyの研究者は、古いSilverlightの脆弱性と概念実証を発見しました。これは、Toropovにもクレジットされ、PacketStormに提出されました。 (セキュリティ情報ポータル). アーカイブをダウンロードして、エクスプロイトをトリガーしたDLLファイルのYARAルールをKasperskyが作成するのに十分な情報を含めることができます。.
ヤラとは?
YARAは、マルウェア研究者がマルウェアサンプルを識別および分類するために主に使用するツールです。. YARAは、テキストまたはバイナリパターンに基づいてマルウェアファミリの説明を作成するために適用されます. すべての説明 (またはルール) 文字列のセットです.
YARAルールの準備ができたら, Kasperskyの顧客のコンピューターにデプロイされました. 11月下旬まではすべて大丈夫だったようです 2015. これは、ユーザーのコンピューターで、一般的な検出の1つによってアラートがトリガーされたときです。 2013 エクスプロイト. 分析によると、悪意のあるファイルは7月に作成されました 21, ハッキングチームの侵害が発生し、盗まれたデータがオンラインで公開されてから約2週間後. このエクスプロイトはMicrosoftに報告されました, 1月中にパッチが適用されました 12 2016 火曜日のパッチ.
研究者にとって不明な点は、パッチが適用されたゼロデイエクスプロイトがハッキングチームの違反によって開示されたものと同じであるかどうかです。 (Toropovによって販売のために提案されたもの), または後で書かれた新しいエクスプロイト.
カスペルスキーのバーソロミューは、両方のサンプルにトロポフを指す類似点があると述べています:
Silverlightのゼロデイを書く人はあまりいません, そのため、フィールドは大幅に狭くなります,」バーソロミューは言った. "その上に, 彼の古いエクスプロイトで使用されたエラー文字列がいくつかあります 2013 私たちがとらえて、ユニークだと思ったこと. これらは私たちのルールの基礎でした.
ついに, Silverlightのゼロデイエクスプロイトの危険な点は、それらが広まる可能性があることです。.
参考文献
ThreatPost
ArsTechnica
カスペルスキーラボ
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: