自動脅威管理のリーダーであるVectra®ネットワークスは本日、Vectra Threat Labs™の研究者がMicrosoft Windowsに重大な脆弱性を発見したことを発表しました。この脆弱性により、攻撃者は感染した、または偽のプリンタドライバを介してコンピュータをシステムレベルで制御することが可能になります。
この脆弱性は、ユーザーが自宅やオフィス、インターネット上でプリンターを素早く検索、追加、使用できるようにするウィンドウズのプロセスに起因している。システムレベルの制御を武器に、マルウェア、1台のマシンからネットワーク全体に横展開することができる。
「Vectra NetworksのCSOであるGünter Ollmannは、「この特定の脆弱性は、Windowsマシンがネットワーク上のプリンターに簡単に接続できることを攻撃者が悪用することを可能にします。「ほとんどのデバイスは、ソフトウェアをマシンにダウンロードする前に、特定のユーザーまたは管理者の許可を必要としますが、プリンタ・ドライバはこれらの制限をバイパスすることが可能です。
「このため、プリンターはネットワーク上で最も強力な脅威の媒介となります。「攻撃者は、ユーザーを個別に感染させるのではなく、1台のプリンターを、それに触れるすべてのWindowsデバイスを感染させる水飲み場に効果的に変えることができる。
プリンターは、定期的なパッチやアップデートの優先順位が必ずしも高くないため、攻撃者が正規のプリンタードライバーと悪意のあるペイロードを搭載したドライバーを簡単に交換できるような、未解決の脆弱性が残されていることが多い。
いったんインストールされると、悪意のあるファイルはシステムレベルの権限で実行され、攻撃者は事実上マシンを完全にコントロールできるようになる。このプロセスは無期限に繰り返され、そのプリンターに接続するすべての新規ユーザーに感染する可能性がある。
「さらに、この攻撃は起動するために物理的なプリンターさえも必要としない。「攻撃者はネットワーク上に偽のプリンターを設置し、そこに接続した疑うことを知らないユーザーに悪意のあるペイロードを提供することができる。
攻撃者は、ローカルネットワークにアクセスすることなく、インターネット経由で悪意のあるプリンタドライバを配信することもできます。Internet Printing Protocol(IPP)またはMicrosoft Web Point-and-Print Protocol(MS-WPRN)を活用することで、攻撃者は、侵害されたウェブサイトや広告などの通常のウェブベースのベクターを介して、インターネット上で悪意のあるドライバーを提供することができる。
「この研究は、プリンターのようなIoTデバイスが攻撃者に与える多くの可能性を強調しています。「このようなデバイスは、セキュリティ上の欠陥やバックドア、あるいは水飲み場のような脅威として評価されることはほとんどなく、企業や家庭のネットワークにとってますます盲点となっています。Microsoft社のWindowsユーザーは、この脆弱性がすぐに攻撃者に悪用される可能性があるため、この重要なパッチを直ちに適用するよう強く求められている。
Vectra この脆弱性は2016年4月にMicrosoftに開示された。Microsoftはこの脆弱性を重要なMS16-087 (CVE-2016-3238)として分類し、本日パッチを発行した。各組織は、直ちにWindowsシステムにパッチを適用することが推奨される。
Vectra Networksの脅威研究部門として、Vectra Threat Labsはセキュリティ研究とデータサイエンスの正確な交差点で活動しています。研究者は、顧客のネットワークで見られる説明のつかない現象を取り上げ、観察された動作の根本的な理由を見つけるために深く掘り下げます。
Vectra Threat Labsからのレポートやブログは、攻撃者の目標にゼロインし、攻撃者が繰り広げている広範なキャンペーンのコンテキストにそれらを配置し、脅威を検知し、軽減することができる耐久性のある方法についての洞察を提供します。
攻撃者の根本的な目標に焦点を当て、それを達成するために可能な方法を考えることは、長期間にわたって驚くほど効果的な検知方法につながる可能性があります。私たちのプラットフォームに関する脆弱性を報告するには、security@vectranetworks.com まで電子メールをお送りください。
Vectra® Networks は、進行中のサイバー攻撃をリアルタイムで検知する自動脅威管理ソリューションのリーダーです。同社のソリューションは、攻撃を受けているホストに対する脅威を自動的に相関させ、攻撃者が何をしているかについての独自のコンテキストを提供するため、組織は損失を迅速に防止または軽減することができます。Vectraは、最大のビジネスリスクをもたらす攻撃に優先順位を付け、組織が時間とリソースを集中すべき場所を迅速に決定できるようにします。2015年、ガートナーは、侵害後の脅威検知の課題に対処しているとして、Vectraをセキュリティ・インテリジェンスのクールベンダーに選出しました。また、アメリカン・ビジネス・アワードは、Vectraを2015年のテック・スタートアップの金賞に選出した。Vectraの投資家には、Khosla Ventures、Accel Partners、IA Ventures、AME Cloud Ventures、DAG Venturesが含まれる。本社はカリフォルニア州サンノゼにあり、欧州地域本部はスイスのチューリッヒにある。詳細はwww.vectranetworks.com。
###
Vectra およびVectra Networks のロゴは登録商標であり、Security that thinks、Vectra Threat Labs、Threat Certainty Index はVectra Networks の商標です。その他のブランド名、製品名およびサービス名は、各所有者の商標、登録商標またはサービスマークです。