Avastセキュリティソフトの無効化攻撃を招いた「脆弱性」の正体とは?:攻撃者集団AvosLockerの手口から考える脆弱性対策【後編】
トレンドマイクロの研究者は、攻撃者集団「AvosLocker」がAvast Softwareのセキュリティソフトウェアを無効化する際、ある脆弱性を悪用したとみる。その脆弱性とは。
「AvosLocker」は、比較的新しいランサムウェア(身代金要求型マルウェア)攻撃集団だ。2021年にAvosLockerによるとみられる攻撃が初めて観測されたとき、トレンドマイクロとネットワークセキュリティベンダーPalo Alto Networksは、ランサムウェア攻撃集団「REvil」の活動停止で生じた空隙をAvosLockerが埋めることになる可能性を指摘した。
AvosLockerが悪用した「脆弱性」の正体
併せて読みたいお薦め記事
連載:攻撃者集団AvosLockerの手口から考える脆弱性対策
さまざまな製品の脆弱性
- Windowsに見つかった「RPC」の危ない脆弱性 パッチ未適用PCは全滅か?
- 北朝鮮の攻撃者グループが悪用か 「Chrome」脆弱性を突く2種類の攻撃とは
- プロ調査で脆弱性が大量に見つかってしまった“残念”な無線LANルーターとは?
トレンドマイクロは2022年5月に同社公式ブログのエントリ(投稿)で、AvosLockerによるとみられる攻撃として、Avast Software(2021年にNortonLifeLockが買収を発表)のセキュリティソフトウェアを無効化する手口を紹介した。このブログエントリを執筆した同社研究者のクリストファー・オルドネス氏とアルビン・ニエト氏は、AvosLockerはAvast Softwareの正規の「ルートキット」対策ドライバファイル「aswArPot.sys」の脆弱(ぜいじゃく)性を悪用したとみる。ルートキットは、システムに侵入した攻撃者が、システムを遠隔操作するためのソフトウェア一式を指す。
ブログエントリによると、Avast Softwareはトレンドマイクロからの通知を受けて、旧バージョンのaswArPot.sysに脆弱性があったことを認めた。Avast Softwareはこの脆弱性を2021年6月に修正済みだ。ブログエントリには、この修正に関するAvast Softwareの声明が記載されている。声明は以下の通りだ。
当社はMicrosoftと密に連携しています。Microsoftは「Windows 10」「Windows 11」に対して、旧バージョンのaswArPot.sysをメモリにロードできないようにしました。(中略)更新を適用したWindows 10とWindows 11デバイスは、この種の攻撃に対して脆弱ではなくなりました
オルドネス氏とニエト氏は、今回の攻撃の発端が、Zohoの「ManageEngine ADSelfService Plus」(Active Directory」用のパスワード管理ツール)を悪用したプログラムだと考える。ManageEngine ADSelfService Plusの既知の脆弱性「CVE-2021-40539」を悪用した形跡があるからだ。この脆弱性は2021年、セキュリティベンダーSynacktivが開示した。
企業はIT製品のアップデートのペースになかなか付いていけていない。2022年4月、米国など5カ国の法執行機関は、2021年に最も悪用された脆弱性のリストを公開した。Log4ShellとCVE-2021-40539はこのリストに入っており、依然として攻撃者が注目する脆弱性だ。オルドネス氏とニエト氏によると、これまでに見つかった攻撃者集団と同様にAvosLockerも、さまざまなパッチ未適用の脆弱性を悪用して企業ネットワークに侵入している。
TechTarget発 先取りITトレンド
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.