アバストのアンチルートキットドライバ、セキュリティプロセス無効化のために悪用される

11月25日：サイバーセキュリティ関連ニュース

アバストのアンチルートキットドライバ、セキュリティプロセス無効化のために悪用される

BleepingComputer – November 23, 2024

正規のアバスト製アンチルートキットのドライバを悪用し、セキュリティソリューションを無効化してシステムを侵害しようとする新たな有害キャンペーンを、Trellixの研究者が発見。本来システムをコアな部分から保護するためのものであるカーネルモードのドライバは、OSの最重要部分へアクセスできるものであることから、攻撃者に悪用されると強力な破壊力を持つツールへ変貌してしまうという。

このBYOVD（Bring Your Own Vulnerable Driver）アプローチは、マルウェア（kill-floor.exe）によってアバストの古く脆弱なルートキットドライバ（aswArPot.sys）をドロップし、このドライバを利用してさまざまなベンダーのセキュリティプロセスを停止させるというもの。同ドライバがインストールされ、aswArPot.sysというサービスが作成されると、マルウェアは無限ループ状態に入ってシステム上で実行中のプロセスのスナップショットを取得する。マルウェアには、McAfeeやシマンテック、Sophos、アバスト、トレンドマイクロ、ESETなどのアンチウイルスやEDRソリューションに関連する142件のプロセス名がハードコードされており、取得されたスナップショットはこのリストと照会され、一致するものがあった場合には、インストール済みのアバストドライバを参照するハンドルが作成される。その後、このハンドルは「DeviceIoControl」APIを利用して、当該セキュリティプロセスを停止させるためのI/O制御コードを発行するのだという。

Trellixによれば、このようなBYOVD攻撃から自組織を守るには、シグネチャまたはハッシュに基づいてコンポーネントを特定・ブロックできるようなルールをEDRまたはアンチウイルスソリューションに取り込み、マルウェアによって正規のドライバが悪用されるのを防ぐことが推奨されるとのこと。

WinZipの脆弱性により、有害コードの実行が可能になる恐れ：CVE-2024-8811

Securityonline[.]info – November 22, 2024

広く用いられるアーカイビングツールのWinZipに、深刻なセキュリティ機能バイパスの脆弱性 CVE-2024-8811が存在。これを悪用してセキュリティ保護を切り抜けた攻撃者は、ユーザーのシステム上で有害なコードを実行する可能性も考えられるという。

76.8より前のバージョンのWinZipに影響を与えるCVE-2024-8811は、WinZipによるMark-of-the-Web（MOTW）の処理方法における欠陥に関するもの。Windowsで使用されるセキュリティ機能であるMOTWは、インターネットからダウンロードされた安全でないかもしれないファイルにフラグを付与してユーザーに注意喚起を促す役割を果たすが、WinZipでは、ダウンロードされたアーカイブファイルを処理する際にこのフラグが意図せず除去されてしまうという。つまり、もし有害なファイルがインターネットからダウンロードされてZip圧縮されたとしても、MOTWフラグは除去されるためにユーザーがこれを「安全」だと思い込むリスクが出てくるということになる。

CVE-2024-8811の悪用が成功した場合に想定され得る影響としては、以下のようなものがあるという：

• マルウェアの実行：攻撃者はランサムウェアやスパイウェア、トロイの木馬といったマルウェアを配布・実行し、ユーザーのシステムおよびデータを侵害する恐れがある。
• データ窃取：機微なデータが窃取され、身元が乗っ取られたり金銭的損失を被ったりする恐れがある。
• システムの乗っ取り：攻撃者がユーザーのシステムを乗っ取り、さらなる悪意ある活動を実施しようとする恐れがある。

WinZipのユーザーには、利用しているソフトウェアを76.8以降のバージョンへ速やかにアップデートすることが推奨されている。

無料配布中レポート

各種レポートを無料配布中！バナー画像よりダウンロード可能です。