An Exploit For Zero-Day Microsoft Flaw Wants to Take Control of Your PC

最近、コンピュータセキュリティ研究者は、マイクロソフトのWindows OSのゼロデイ脆弱性を悪用して、外部からの保護を受けていないマシンへのアクセスを昇格させようとする悪意のあるエクスプロイトを発見しました。 win32k.sysファイルに関連する欠陥は、2018年10月以来、Kasperskyがさらされているこのタイプの5番目のウィンドウズ脆弱性です。セキュリティ問題は現在修正され、4月10日以来安全です。

詐欺師たちは何をしていましたか？

3月17日にこのエクスプロイトに関する通知を受け、Microsoftは問題の脆弱性にCVE-2019-0859 IDを割り当てたことを認め、4月10日にパッチをリリースしました。つまり、win32.k.sysは内部のWindowsです。プロセスを管理できるファイルがメモリ内で実行されます。そうしないと、 特権昇格の脆弱性が発生します 。後者は侵入者に次のことを許可します。

• HMValidateHandle機能を利用してOSのASLR（Address Space Layout Randomization）セキュリティを回避する
• 管理者権限を取得します。
• カーネル自体までいっぱい行ってください。

このエクスプロイトを作成した詐欺師は、主に64ビットのWindows 7またはWindows 10 OSを実行しているコンピュータシステムの制御を引き受けようとしていたようです。

3つの行為での感染

この不正利用によりシステムのASLR保護が無効になるとすぐに、次の3段階の攻撃が行われます。

• ステージ1：Pastebinストレージサイトから特定のスクリプトを取得するためのPowerShellコマンドの実行
• 段階2：別のスクリプトダウンロードコマンドを追加します。
• ステージ3：2番目のスクリプトの実行

その結果、この脆弱性により、標的のPCと攻撃者の間の通信が保護されるHTTPリバースシェルが作成されます。安全な通信チャネルは、一方では管理者特権と、もう一方では、外部の者が対応するPCを効果的に制御するために必要なものです。

上記の攻撃レイアウトは、正規のWindowsコンポーネントを利用して管理者保護を回避するAdvanced Persistent Threat（APT）の典型です。特にこの悪用は、悪意のある性質を偽装するためにWindows PowerShellコンソールとwin32k.sysファイルを展開するため、悪用防止と検出のための拡張ツールの必要性がさらに強調されています。