エクスプロイトを阻止するように設計された Microsoft セキュリティ ツールの最新リリースでは、攻撃者が長年好んできたルートであるサードパーティ製プラグインの起動を管理者が制御できるようになりました。
Microsoft は、ASLR (アドレス空間レイアウトのランダム化) や DEP (データ実行防止) など、Windows 内に組み込まれた防御機能を使用して、Microsoft 以外のアプリケーションのセキュリティを強化する無料ツールである Enhanced Mitigation Experience Toolkit (EMET) の機能を着実に改善し、追加してきました。
木曜日にリリースされた最新の 5.0 イテレーションには、「Attack Surface Reduction」と呼ばれる機能が含まれており、悪用される可能性のあるアプリケーションのモジュールやプラグインの一部をブロックできると、Microsoft セキュリティ レスポンス センターのシニア ディレクター、クリス ベッツ氏は書いている。
Microsoft の最新バージョンの Enhanced Mitigation Experience Toolkit では、プラグインの起動をブロックできます。
たとえば、Microsoft Word では Adobe Flash Player プラグインの読み込みを禁止したり、Java プラグインを外部サイトではなくイントラネット ゾーンのサイトからのみ実行できるようにしたりできると彼は書いています。
Windowsオペレーティングシステムの脆弱性の発見が困難になっているため、サードパーティ製ソフトウェアはハッカーに好まれる傾向にあります。アプリケーションを実行するためのアプリケーションフレームワークであるJavaや、Adobe Systemsのアプリケーションも標的となることが多くなっています。
EMET は、デフォルトで、Word、Excel、PowerPoint による Adobe の Flash プラグインの読み込みをブロックするように設定されています。
EMETのもう一つの改良点は、SSL(Secure Socket Layer)接続のセキュリティ保護に使用されるデジタル証明書に関するものだとベッツ氏は記している。EMETには新たにブロッキングモードが追加され、信頼できない証明書が検出された場合、セッションデータを送信せずにInternet ExplorerにSSL接続を中止するよう指示するようになった。
マイクロソフトは、バージョン4.0で緩和策の回避が成功した事例を踏まえ、EMETの強化も行いました。今年初め、マイクロ仮想化に基づくセキュリティ技術を開発するBromiumの研究者らは、より高度な技術を持つハッカーがEMETの保護機能を全て回避できることを発見しました。
同社は、バイパス技術に対するEMETの強化に取り組んだ。技術文書によると、バイパス技術は「EMET保護アプリケーション内のメモリ破損が悪用され、選択されたメモリ領域を上書きし、EMET自体に属するデータを破壊する可能性がある」場合に発生する可能性がある。
