マルウェア「Duqu」の侵入経路が明らかに 13
侵入 部門より
日本は標的になっていないのであまり話題になっていないが、第2のStuxnetことマルウェア「Duqu」の侵入経路が明らかになった(マイクロソフト セキュリティ アドバイザリ、 Symantec Official Blogの記事、 本家/.)。
MicrosoftはDuquがWindowsのゼロデイ脆弱性を突いていることを11月1日に認めていたが、詳細は明らかにされていなかった。4日付で公開されたセキュリティアドバイザリ(2639658)によると、Win32k TrueTypeフォント解析エンジンの脆弱性により特権が昇格されるというものだという。Server CoreインストールのWindows Server 2008/2008 R2を除き、Windows XP以降すべてのバージョンのWindowsが影響を受ける。ハンガリーのセキュリティ企業CrySys Labが復元したDuquのドロッパーの1つはWordドキュメントで、メールに添付されたファイルを開くことで上記のゼロデイ脆弱性を利用してDuquがインストールされるものだ。このドロッパーは現在唯一確認されているもので、他のファイル形式のドロッパーが存在する可能性もあるとのこと。
現在Microsoftはこの脆弱性について調査中とのことで、9日の定期更新には間に合わないようだ。ただし、現時点では高いリスクをもたらすものではないとのこと。なお、セキュリティアドバイザリでは脆弱性のあるファイル「T2EMBED.DLL」のアクセスを拒否する手順が紹介されている。また、多くのセキュリティソフトでは既にDuquのファイル本体を検出可能となっている。