WindowsのPatchGuardを迂回する新手法「GhostHook」、セキュリティ企業が報告

「GhostHook」の攻撃手法を使えば、攻撃に気付かれないままシステムに潜伏し、64ビットシステムをカーネルレベルで完全に制御することも可能だとCyberArkは解説している。

[鈴木聖子，ITmedia]

　セキュリティ企業のCyberArkは6月22日、64ビット版のWindowsに搭載されているカーネル保護技術「PatchGuard」（別名Kernel Patch Protection）を迂回できてしまう新しい攻撃手法を発見し、「GhostHook」と命名したと発表した。攻撃者がPatchGuardを迂回できれば、管理者権限を奪取しやすくなる恐れもあるとしている。

CyberArkが64ビット版のWindowsに搭載されているカーネル保護技術「PatchGuard」（別名Kernel Patch Protection）を迂回できてしまう新しい攻撃手法を発見

　CyberArkによると、Windows 10でPatchGuardを迂回できる攻撃手法が報告されたのは初めてだという。ただしGhostHookの攻撃手法を利用するためには、攻撃者が既に標的とするシステムに侵入し、制御している必要がある。

　しかしこの手法を使えば、攻撃に気づかれないままシステムに潜伏し、64ビットシステムをカーネルレベルで完全に制御することも可能だとCyberArkは解説。国家が関与して特定の標的を執拗に狙うAPT攻撃に使われるような、高度な64ビットマルウェアの氾濫につながる可能性もあるとしている。

　CyberArkによれば、Microsoftはこの攻撃手法について、「攻撃者がシステム上で既にカーネルコードを実行している必要があるので、セキュリティアップデートを提供する基準には満たない。しかしWindowsの今後のバージョンで対応する可能性はある」とコメントしているという。

「NSAのハッキングツール」新たに大量流出　Windowsの脆弱性悪用も
Microsoftによると、ハッキングツールで悪用されていた脆弱（ぜいじゃく）性の大半はすでに修正されている。国際間の銀行決済に使われるSWIFTのシステムがNSAの標的になっていたとの情報もある。
Microsoft、5月の月例セキュリティ更新プログラム公開
OfficeやWindowsの脆弱（ぜいじゃく）性は、狙った相手に不正なWord文書を電子メールで送り付ける標的型攻撃に利用されていた。
Microsoft、4月の月例更新を公開　Windows Vistaの更新は今回が最後
Windows Vistaは今回が最後の更新プログラムとなる。以後はサポートが打ち切られ、たとえ脆弱性が発覚したとしても、Vistaは修正の対象から除外される。
Vistaの「PatchGuard」機能を回避する製品が登場
Authentiumの「Authentium ESP Enterprise Platform」は、Vistaに搭載される「PatchGuard」カーネル保護技術を無効化することができるという。カーネルへのアクセス解禁を求めているSymantecやMcAfeeなどのセキュリティ企業とは異なり、単に同機能を回避する技術を開発しただけだと、同社の関係者は説明している。