IIJ-SECT

IIJ

 

Security Diary

HOME > Security Diary > DuquとWindowsカーネルの脆弱性について

DuquとWindowsカーネルの脆弱性について

2011年10月に見つかったDuquと呼ばれるマルウェアは、自己複製の機能を持たないトロイの木馬です。このマルウェアは感染したマシンから盗んだ情報を~DQx.tmp(xは任意の文字列)というファイル名で保存することから、Duquと呼ばれています[1]

Duquは情報の搾取を目的として少数の特定の組織に向けて放たれたマルウェアであり、アンチウィルス製品各社はStuxnetで使われたコンポーネントとの共通性を指摘しています。Kaspersky社はDuquに関するFAQの中で、DuquとStuxnetは1つの組織内で異なる人々によって開発されたものではないかと推測しています。また、StuxnetとDuquは、通常のマルウェアには見られない、特徴的な即値を共通で使用していることも指摘しています[2]

Symantec社のレポートによると、Duquの感染経路の1つは、メールに添付されたWordファイルだったとのことです[3]。そのWordファイルの中には、2011年10月の時点で対策方法が存在しなかったWindowsカーネルの脆弱性を悪用するexploitコードが含まれていました。exploitコードはまず既に感染済みマシンかどうかをレジストリの特定の値を見ることで判断し、感染していないマシンでのみコードを実行します。コードはドキュメント内にあるドライバファイルとインストーラを復号し、ドライバの実行によってservices.exeにインストーラをインジェクションします。DuquのC&Cのプロトコルには画像データのアップロードおよびダウンロードが使われ、アップロード時の画像の末尾に盗んだデータを付加して送信します。また、特定の日数を過ぎると削除されるようになっていますが(デフォルトでは30日間)、その日数は変更可能とのことです。

2011年11月4日にマイクロソフト社はDuquの感染に使われたWindowsカーネルの脆弱性の情報を公開しました[4]。この脆弱性はWin32k TrueType フォント解析エンジンに存在し、もしこの脆弱性が悪用された場合、カーネルモードでの任意のコード実行が可能になります。

この脆弱性に対して、一時的な回避策であるFix itがマイクロソフトからリリースされています。これは、Microsoft Update等では提供されないため、ユーザが個々に適用する必要があります。また、マイクロソフト社のOffice製品群からPDFを生成できなくなる副作用が存在します。 現状ではこの脆弱性を利用した攻撃はごく一部のユーザしかターゲットになっていませんが、いつ別の攻撃者が悪用するかわからないため、前述の副作用を容認できるのであれば、Fix itで一時的な対策を行いましょう。Fix itは更新プログラムを置き換えるものではないので、後日それがリリースされたら適用することも必要です。

2011年12月15日追記

2011年12月14日にマイクロソフト社は同脆弱性を解決する更新プログラムをMS11-087として公開しました[5]。自動更新を有効にしているユーザであれば、自動的にダウンロードおよびインストールが行われます。自動更新を有効にしていない場合は手動で確認してインストールを行いましょう。


  1. Kaspersky社はDuquの解析結果とその考察を「The Mystery of Duqu」というタイトルのブログエントリで公開しており、「The Mystery of Duqu: Part One」においてDuquの名前の由来について述べている。 ↩

  2. Kaspersky社はDuquに関するFAQ(「Duqu FAQ」参照)の中の、「Q: I heard that Duqu and Stuxnet are written by the same people. I also heard that Duqu and Stuxnet are written by different people. What is the truth?」でDuquとStuxnetを書いた人々に関する推測を、「Q: Stuxnet contains a particular variable which points to May 9, 1979, the date when a prominent Jewish businessman called Habib Elghanian was executed by a firing squad in Tehran. Are there such dates in Duqu as well?」でDuquとStuxnetが共通して使用している即値について述べている。 ↩

  3. Symantec社はDuquの感染地域や感染経路などの技術的な詳細をレポートにまとめている。W32.Duqu http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_duqu_the_precursor_to_the_next_stuxnet.pdf ↩

  4. マイクロソフト セキュリティ アドバイザリ: TrueType フォント解析の脆弱性により、特権が昇格される http://support.microsoft.com/kb/2639658 http://technet.microsoft.com/ja-jp/security/advisory/2639658 ↩

  5. マイクロソフト セキュリティ情報 MS11-087 - 緊急 Windows カーネルモード ドライバーの脆弱性により、リモートでコードが実行される (2639417) http://technet.microsoft.com/ja-jp/security/bulletin/MS11-087 ↩

-
 
カテゴリー :
セキュリティ事件   脆弱性  
タグ :
Malware   Vulnerability   Windows   Arbitrary code execution  
この記事のURL :
https://sect.iij.ad.jp/d/2011/12/012190.html