DLLサーチオーダーハイジャッキングに、Windows 10と11の保護をバイパスする新手法が登場

「Analyst’s Choice」では、弊社インテリジェンスアナリストが先月報じられたニュースの中から注目の記事をピックアップし、そこで取り上げられた脆弱性やマルウェアなどの脅威情報に対する洞察・ソリューションをコメントしています。

今月の2つ目のトピックは「DLLサーチオーダーハイジャッキングに、Windows 10と11の保護をバイパスする新手法が登場」です。これについて、影響範囲、アナリストの見解、緩和のための戦略を紹介していきます。

今月の「Analyst’s Choice」、その他の記事はこちら：

DLLサーチオーダーハイジャッキングに、Windows 10と11の保護をバイパスする新手法が登場

• DLL（ダイナミックリンクライブラリ）サーチオーダーハイジャッキング技術の新たな活用手法を、セキュリティ研究者らが発見しました。この新手法をハッカーが悪用すれば、Windows 10および11のセキュリティ措置をバイパスすることが可能になる恐れがあります。

• この新たな手口は信頼されたWinSxSフォルダー内の実行ファイルを悪用するというもので、これにより攻撃者は、権限を昇格させることなく悪意あるコードを実行できるようになります。

• より正確には、「信頼されたWinSxSフォルダー内で広く見受けられる実行ファイルを活用し、これらを典型的なDLLサーチオーダーハイジャッキング技術を用いて悪用する」という手法であると、サイバーセキュリティ企業Security JoesがThe Hacker Newsに独占共有された新たなレポートの中で語っています。

情報源：https://thehackernews.com/2024/01/new-variant-of-dll-search-order.html

アナリストのコメント

影響範囲

脆弱なWindowsシステムを利用する誰もがこの攻撃を受けるリスクに晒されますが、いくつかの条件に該当するユーザーに関しては、それ以外のユーザーよりも狙われる可能性が高くなります。未パッチのソフトウェアを使用したり、信頼されていないリンクを踏んだり、また信頼されていないソースからアプリケーションをダウンロードしたりする行為は、概して標的にされるリスクを大幅に高めてしまいます。

緩和戦略

DLLサーチオーダーハイジャッキングに対する緩和戦略としては、以下のようなものが挙げられます。

1. DLLサーチオーダーで広く使用されるディレクトリへのwriteアクセスを制限する：これにより、攻撃者が上記のようなディレクトリに悪意あるDLLを配置することを困難にします。
2. コード署名・検証を実施する：正規のDLLにデジタル署名し、ロードする前にそれらの署名が検証されるようにしましょう。これにより、許可されていないコードが実行されるのを防ぎます。
3. アプリケーション制御ソリューションを利用する：事前に定義したルールや許可リストに基づいてアプリケーション実行のモニタリングおよび制御を行ってくれるようなツールを実装しましょう。
4. 不審なプロセス挙動を検出できるセキュリティツールの導入を検討する：DLLインジェクションの試みのような悪意ある動きを特定し、これに対応できるEDR（Endpoint Detection and Response）ソリューションを実装しましょう。
5. 組織はまた、プロセス間の親子関係を検証し、WinSxSフォルダー内のバイナリの動きをモニタリングすることによっても、この攻撃によるリスクを軽減することができます。

見解

留意しておきたいのが、この攻撃手法は概して、まず標的システムでの足場の確立を可能にするような他の脆弱性や手口と組み合わせて使われるものであるという点です。攻撃者は、手始めに信頼されたC:\\Windows\\WinSxSフォルダー内の脆弱なバイナリ（ngentask.exeやaspnet_wp.exeなど）を探し出します。その後、正規のDLLと同じ名前でカスタムDLLを作成し、これをアクターの制御下にあるディレクトリへ戦略的に配置します。システムは正規のDLLをロードしようとする際、まずはアプリケーションの起動元のディレクトリ内を検索しますが、同一の名前を持つDLL（このケースでは、攻撃者が作成した悪意あるDLL）が見つかった場合、正規のDLLの代わりにこれをロードしてしまいます。このテクニックにより、攻撃者は権限を昇格させずとも悪意あるコードを実行できるようになります。これは、防御の回避や永続性の確立、特権の昇格といった目的で利用される恐れのある、ステルス性の高いエクスプロイト手法です。