カスペルスキーは、数百万のユーザーを危険にさらす可能性のある Silverlight の危険なゼロデイ脆弱性を発見し、Microsoft に報告するために、数ヶ月にわたってエクスプロイト開発者のデバッグ署名を追跡した経緯を明らかにした。
ロシアのセキュリティ組織は昨年末にこのバグ (CVE-2016-0034) を報告しましたが、今週の Patch Tuesday アップデートで修正されました。
カスペルスキー社の脅威抑制担当者であるコスティン・ライウ氏とアントン・イワノフ氏は、ロシア人ハッカーのヴィタリー・トロポフ氏が、摘発されたイタリア企業に複数のゼロデイ攻撃を売りつけようとしたことが明らかになったハッキングチームの流出した電子メールを分析した後に、この脆弱性が発見されたと書いている。
トロポフ氏は、その後パッチが適用されたFlashのエクスプロイトを4万5000ドルで売却することに成功し、iOSとSilverlightのエクスプロイトも売り込もうとした。Silverlightは2013年6月までの36ヶ月間パッチが適用されず、今後数年間は「生き残る」可能性が高いと、トロポフ氏はハッキング企業に売り込んだ。
このやり取りは、2013 年後半に修正された別の Silverlight の脆弱性に対する Toropov の概念実証エクスプロイト コードを調査した Kasperksy の研究者の興味をそそりました。
「(この)話はすぐに私たちの注目を集めました」と二人は書いている。
「もしそれが本当なら、これは大規模なバグとなり、多くの主要な標的を攻撃できる大きな可能性を秘めていることになる。
「たとえば、Silverlight をインストールすると、Internet Explorer だけでなく Mozilla Firefox にも登録されるため、攻撃ベクトルはかなり大きくなる可能性があります。」
彼らは、その公開コードの特徴を利用して、Toropov が販売しようとした謎の Silverlight エクスプロイトを見つけられることを期待していました。
その策は功を奏しました。そのエクスプロイトに残っていたデバッグコードが発見され、YARAルールに書き込まれ、カスペルスキーのグローバル脅威ネットワークにプラグインされ、何ヶ月もの間、静かに放置されていました。
Silverlightのバグに対するYARA検出
11月25日には顧客感染が確認され、数時間後にはラオスのIPアドレスからコードを含むサンプルがVirusTotalにアップロードされた。
トロポフ氏はWiredに対し、Silverlightの脆弱性を販売しておらず、カスペルキーが発見したものは自分のものではないと語った。
これにより、別のハッカーが公開したコードを再利用した可能性が残ります。
Kaspersky は Silverlight バグの技術分析を執筆しました。®
