マイクロソフトは、セキュリティ研究者による綿密な分析が続く高度な悪意あるソフトウェア「Duqu」が悪用したソフトウェアの脆弱性に対する攻撃を一時的に弱めるコードを公開した。
マイクロソフトは、WindowsオペレーティングシステムのコンポーネントであるWin32k TrueTypeフォント解析エンジンの脆弱性に対するパッチの開発に取り組んでいます。攻撃者はこの脆弱性を悪用し、カーネルモードでコンピュータに悪意のあるコードを読み込む可能性があります。
研究者らは、この脆弱性を突く攻撃は悪意のあるMicrosoft Word文書によって実行される可能性があることを発見した。この文書は電子メールの添付ファイルとして標的に送信され、開くことで攻撃が開始される。
ハンガリーの暗号化およびシステムセキュリティ研究所 (CrySyS) の研究者は、Duqu のインストーラー ファイルを発見し、それがこれまで知られていなかった Windows の脆弱性を利用していることを発見しました。
Microsoftの回避策は、管理者権限のコマンドプロンプトで実行される数行のコードです。Microsoftは、これらの回避策をインストールすると、埋め込みフォント技術を利用する一部のアプリケーションが正しく表示されない可能性があると警告しています。これらの回避策は、MicrosoftのXP、Vista、7オペレーティングシステム、および各種Windows Server製品に適用されます。Microsoftは、ダウンロードして適用できるクイックフィックスも公開しています。
火曜日の月例パッチ
マイクロソフトは火曜日に月例パッチをリリースする予定だが、Duquの脆弱性は間に合わないようだ。マイクロソフトは重大な脆弱性に対して「非定期」パッチをリリースすることもあるが、通常はリリースするかどうかを予測していない。
マイクロソフトがパッチを開発するには数週間かかる可能性があると、カスペルスキー研究所の国際調査分析チームディレクター、コスティン・G・ライウ氏は述べた。
「脆弱性を修正するにはカーネルコードの修正が必要となり、これは非常に繊細でリスクの高い作業です」とラウ氏は述べた。「修正とパッチのテストには多大な時間がかかります。」
ライウ氏によると、サイクル外のパッチの作成には少なくとも2週間かかる可能性があるという。バグがリバースエンジニアリングされ、より多くのマルウェアがそれを利用し始めない限り、パッチは来月には完成する可能性が高いと同氏は述べた。
Duqu は Stuxnet に似ていると言われていますが、この 2 つのマルウェアに関連性があるかどうかについては報告が分かれています。
Stuxnet は、4 つのゼロデイ脆弱性 (ベンダーが気付いてパッチを開発する前に悪用される脆弱性) を悪用して Windows にインストールされたことから、作成者の高度な技術レベルを実証しました。
Duquは、カーネルレベルの脆弱性を悪用することでウイルス対策ソフトウェアの検知を巧妙に回避できるため、高度なマルウェアとみなされています。Duquは、組織を標的とした標的型攻撃を目的として作成されたと考えられています。
マイクロソフトは木曜遅くに投稿した勧告で、「報告された脆弱性を悪用しようとする標的型攻撃を認識している。全体として、現時点では顧客への影響は小さいと考えている」と述べた。
マイクロソフトがリスクを軽視しているにもかかわらず、セキュリティベンダーのシマンテックによると、フランス、オランダ、スイス、ウクライナ、インド、イラン、スーダン、ベトナムなど世界中で感染が確認されている。オーストリア、ハンガリー、インドネシア、英国でも同様の事件が発生している。
カナダのセキュリティベンダーSophosのシニアセキュリティアドバイザー、チェスター・ウィズニエフスキー氏は、同社のブログで、これは「かなり深刻なバグ」だと書いた。
「マイクロソフトは、この問題の修正にあまり時間をかけないだろうと思う」と彼は書いている。
(IDGニュースサービス特派員ルシアン・コンスタンティンがこの記事に協力しました。)
ニュースのヒントやコメントは[email protected]までお送りください。
