Tutorials Brawte nfaq 0 Comments

昨年のゼロデイ攻撃の4分の1は、不適切なソフトウェアセキュリティパッチが原因だった

Table of Contents

昨年のゼロデイ攻撃の4分の1は、不適切なソフトウェアセキュリティパッチが原因だった

エニグマ ゼロデイ脆弱性の影響を抑えるために、Google のセキュリティ研究者 Maddie Stone 氏は、ソフトウェア修正プログラムを開発している人々に粗悪なパッチの配布をやめてほしいと考えています。

ストーン氏は火曜日に開催されたUSENIXの仮想カンファレンス「エニグマ2021」でのプレゼンテーションで、2020年に検出されたゼロデイ攻撃の概要を紹介した。情報セキュリティコミュニティ以外の参加者に対し、ゼロデイとは、これまで特定されていなかった脆弱性を狙った攻撃を指すと説明した。

ゼロデイ脆弱性は、検知・対処されるまで長期間にわたって悪用される可能性があるため、問題となっている。ストーン氏によると、2020年には24件のゼロデイ脆弱性が確認され、2019年より4件増加した。

「これらをまとめて見てみると、2020年に悪用された24件のゼロデイ脆弱性のうち6件が、過去に公開された脆弱性の亜種だったという点が最も印象的でした」と彼女は述べた。「さらに、24件の脆弱性のうち3件はパッチが完全に適用されておらず、わずかな修正を加えるだけで、パッチを適用した後でも有効なエクスプロイトが作られる可能性があるのです。」

ストーン氏は、部分的なパッチをプッシュすると、攻撃者にとって作業が容易になりすぎると主張している。

「攻撃者に全く新しいバグクラスを考え出したり、全く新しいエクスプロイトを開発したり、これまで研究されたことのないコードを調べたりすることを要求しているわけではありません」と彼女は述べた。「私たちは、以前から知られている様々な脆弱性の再利用を可能にしているのです。」

自分の主張を説明するために、ストーン氏は、Internet Explorer の Microsoft の従来の JScript エンジンに対する繰り返しの攻撃を含む、2020 年のゼロデイ攻撃をいくつか検証しました。

2018年1月、セキュリティ研究者がMicrosoftにInternet Explorerの複数の脆弱性を報告したと彼女は説明した。2018年12月、これらの脆弱性の1つが悪用されたことが確認された後、MicrosoftはCVE-2018-8653の修正プログラムをリリースした。2019年9月には別のゼロデイ脆弱性が発見され、CVE-2019-1367に対処するためのさらなる修正が必要となった。

コメディ爆弾が入った携帯電話のイラスト

アップルはiOSの緊急セキュリティアップデートをリリースしたが、警告の穴はハッカーによって実際に悪用されている可能性がある。

続きを読む

2019年11月にも新たなゼロデイ脆弱性が発見され、CVE-2019-1429が発見されました。そして2020年1月にもCVE-2020-0674が発見されました。最終的に、この脆弱性は2020年4月にCVE-2020-0968のパッチによって修正されたようです。

ストーン氏によると、Googleの脅威分析調査によると、同一の攻撃者がこれら4つの脆弱性すべてを悪用したという。「この攻撃者は、これらのセキュリティ脆弱性を利用してユーザーを攻撃する機会を4回も得ていた」とストーン氏は述べた。

ストーン氏は脆弱なコードを詳細に検証し、これらの脆弱性がいかに密接に関連しているかを示しました。これらのバグに共通する問題は、JScriptオブジェクトがガベージコレクタによって追跡されず、それらのオブジェクトを適切に破棄できないことで解放後使用の脆弱性が生じることです。そして、これは様々な類似したコードによって実現される可能性があります。

ストーン氏は、GoogleのV8 JavaScriptエンジンの型混乱バグを悪用した別のゼロデイ脆弱性について説明しました。この脆弱性は、Googleのコードが、整数のリストを反復処理する際にJavaScriptの値である負の無限大と正の無限大を加算した結果であるNaN(非数値)を処理できなかったために発生しました。

この事例では、セキュリティ研究者による報告がCVE-2019-13764とパッチの公開につながりました。2020年2月、Project Zeroの研究者であるSergei Glazunov氏は、パッチが適用されているにもかかわらず、CVE-2019-13764を悪用するゼロデイ攻撃が存在することを発見しました。彼はパッチを分析した結果、パッチが不完全であることがわかりました。つまり、バグを悪用する1つの方法には対処しているものの、もう1つの方法には対処していないということです。これがCVE-2020-6883と別のパッチの公開につながりました。しかし、このパッチによって別の問題が発生したため、更新されたパッチがリリースされました。

ストーン氏は、攻撃者が事前の開示情報を利用してマルウェアを作成することを許さないことで、ゼロデイ攻撃をより困難にする必要がある、と主張している。

「ベンダーからは、あらゆる脆弱性に対する正確かつ包括的なパッチが提供される必要があります」と彼女は述べた。「一度発見された脆弱性を放置することはできません。」

ストーン氏はまた、セキュリティ研究者に対し、バグの分析やバリアント分析を実施し、脆弱性を徹底的かつ包括的に報告できるよう協力するよう呼びかけました。また、エンドユーザーに対しては、ベンダーに対し、より優れたパッチの提供を求めるよう促しました。

「発見されたり報告されたりする脆弱性のすべてに対してこの行動を採用すれば、攻撃者がゼロデイ攻撃を行うことは間違いなく困難になるでしょう」と彼女は語った。®

Tutorials

Smart Recommendations

Discover More