最近、セキュリティ関連ブログの中では、サイバー攻撃やサイバースパイに関連した話題が目立つ。このところ話題になっているマルウエア「Duqu」もその一つ。最近では、米ウェブセンスがブログで取り上げた。
ウェブセンスは、Duquで悪用される脆弱性(CVE-2011-3402)についてブログで解説した 。
産業制御システムを狙ったマルウエア「Stuxnet」と同じグループによって作成されたと考えられているDuquが最初に見つかったときは、感染手口はいっこうに分からなかった。しかしハンガリーのCrySysがインストーラーを検出し、状況が変わった。インストーラーはMicrosoft Wordファイルで、WindowsのTrueTypeフォント解析エンジンに存在するゼロデイ脆弱性を利用することが分かった。
攻撃者はこの脆弱性を利用して、カーネルモードで任意のコードを実行することができる。直接カーネルモードでコード実行することを許可してしまう脆弱性は大変まれで、攻撃者は全アクセス権を持つユーザーアカウントを新規に作成することが可能だ。米マイクロソフトはTrueTypeフォント解析に脆弱性があることを認め、セキュリティアドバイザリに詳細な情報を掲載し、この問題を修復するツールも提供している。またウェブセンスは、この脆弱性を悪用するファイルをダウンロードさせる不正サイトからユーザーを保護するために、マイクロソフトと協力している。
脆弱性(CVE-2011-3402)を突く不正ファイルのダウンロードを警告するメッセージ
