is702
ニュース

Windowsの機能を悪用する攻撃「DoubleAgent」のリスクとは?

2017/03/30

トレンドマイクロは3月29日、公式ブログで「『DoubleAgent』:Microsoft Application Verifierを悪用。この攻撃によるリスクについて」と題する記事を公開しました。

「DoubleAgent(ダブルエージェント)」は、セキュリティ会社「Cybellum」が3月22日に発表した攻撃手法で、「Windowsのある機能を悪用することで、主流/次世代のセキュリティソフトを完全に乗っ取ることのできるゼロデイ攻撃」とされています。現時点で、この脆弱性を利用した攻撃は確認されていませんが、さまざまなセキュリティ対策製品に対する攻撃が実演されました。

XP以降のWindowsには、開発者向け機能「Application Verifier(アプリケーション ベリファイア、AppVerifier)」が搭載されています。AppVerifierは、アプリケーションを動作させる前に、作成した特権コード(verifier)を読み込み、さまざまな条件下でのアプリケーションテストを可能とします。本来は開発者によるアプリケーション検証のための機能ですが、「DoubleAgent」はこれを悪用し、セキュリティ対策ソフトを完全に制御することを可能にしました。

ただし、「DoubleAgent」による攻撃を実現するには、まず、他の方法で攻撃対象PCの管理者権限を獲得する必要があります。また狙ったアプリケーションに対応したマルウェアを用意し、これをインストールさせるとともに、アプリケーションの実行前に読み込ませる必要があります。前提条件のハードルが高く労力のかかる攻撃であるため、平均的なサイバー犯罪者がこの攻撃を実行する可能性は低いと考えられます。

なお、このような攻撃に対処するため、Windows 8.1およびWindows Server 2012には、すでに新しい保護サービス機能が追加されています。

  • セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
  • トレンドマイクロ is702 パートナープログラム
  • トレントマイクロ セキュリティブログ
セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
トレンドマイクロ is702 パートナープログラム
トレントマイクロ セキュリティブログ