Windows XPをターゲットにした新たなゼロデイ攻撃が確認される
タレコミ by headless
headless 曰く、
Windows XP/Server 2003で新たに発見されたカーネルの脆弱性について、Windows XPをターゲットにした攻撃コードが確認されているそうだ(マイクロソフト セキュリティ アドバイザリ (2914486)、 FireEyeのブログ記事、 トレンドマイクロ セキュリティブログの記事、 本家/.)。
この脆弱性はNDProxy.sysが入力を正しく検証できない時に特権の昇格を許し、カーネルモードでのコード実行が可能になるというもの。攻撃を行うにはローカルでログオンすることが必要となるが、発見された攻撃コードではAdobe Readerの脆弱性を使い、不正なPDFファイルを開かせることで不正なコードを実行。同時に今回の脆弱性による特権の昇格を行い、バックドアを作成するとのこと。攻撃に使われるAdobe Readerの脆弱性は既に修正されており、Adobe Readerを更新することで現在発見されている攻撃コードによる攻撃は回避できる。ただし、新たな攻撃コードが出てくる可能性もあるので、今回の脆弱性が修正されるまでは注意が必要だ。なお、Microsoftのセキュリティアドバイザリで紹介されている回避方法ではNDProxy.sysを無効化するため、TAPIに依存するサービスの一部が動作しなくなるとのことだ。