概要
ESETカスタマーアドバイザリー 2017-0006
2017年3月23日
深刻度低
ESETは、DoubleAgentと呼ばれる、MicrosoftのApplication Verifierの文書化されていない機能を悪用してコードを注入し、マシン上で永続性を維持する(すなわち、自動実行する)ために使用される技法について記述したCybellumによるレポートの調査結果について報告を受けました。
ESETのほとんどのプロセスは、すでにこの脆弱性に対する免疫を持っていたが、ESETは、この脆弱性を悪用するために使用される可能性のある追加のプロセスに対する保護を追加した(追加された保護は、モジュールの更新によってすべてのユーザーに自動的に配布される)。さらに、この攻撃を管理するには管理者権限が必要であるため、その可能性は大幅に低くなっています。
カスタマーアドバイザリー
詳細
報告によると、Microsoft の Application Verifier の値を使用するプロセスのレジストリエントリを編集して、ディスクから任意のライブラリをロードすることが可能であり、その結果、犠牲となるプロセスのパーミッションが与えられる悪意のあるライブラリをロードする可能性が開かれる。(プロセスの範囲は ESET プロセスに限定されるものではなく、AV 製品のプロセスに限定されるものでもない)。
ただし、攻撃者がレジストリエントリを編集するためには、被害者のマシンの管理者権限が必要であるため、この脆弱性の深刻度は非常に低いと考えられます。
解決策
ESET は、オペレーティングシステムやセキュリティ製品自体への攻撃を防止する追加のセキュリティレイヤを徐々に実装しています。バージョン4以降のすべてのWindows向けESET製品では、当社のセルフディフェンス機能がデフォルトで有効になっており、この機能により、当社の主要プロセスに対するレジストリキーの変更が防止されています。2017年3月23日にリリースされたHIPSモジュールバージョン1273の最新アップデートでは、悪意のあるライブラリをロードするために悪用される可能性のある追加のESETプロセスに対して、同レベルの保護が追加されました。モジュールのアップデートはすべてのユーザーに自動的に配布されるため、何かをダウンロードしたりインストールしたりする必要はありません。
注意:Self-defense 保護を完全に統合するには、Windows ESET 製品の初回インストール時にコンピュータの再起動が必要です。
さらに、ESETのメインプロセスekrn.exeは、Windows 8.1以降のESETコンシューマー向け製品の最新バージョン10では、いわゆるプロテクトサービスを利用しているため、上記のバージョンのWindowsではこの方法を悪用することはできません。次期バージョンでは、ESETのエンドポイント製品にも同レベルの保護機能が追加される予定です。
フィードバックとサポート
この問題に関するフィードバックやご質問は、ESET Security Forum、またはESETサポートまでお問い合わせください。
バージョンログ
バージョン1.0(2017年3月23日):本ドキュメントの初期バージョン
