ショートカットのゼロデイ脆弱性狙うワーム - 監視制御システムのDBを攻撃
ショートカットの検証を正しく行わない「Windowsシェル」の脆弱性について、マイクロソフトは17日にアドバイザリを公表した。同社ではセキュリティ更新プログラムの開発を進めているが、すでにゼロデイ攻撃が発生しており、ワーム「W32.Stuxnet」が約60カ国で確認されている。
同ウイルスは、感染経路としてインターネットを利用しないものの、共有フォルダやUSBメモリなどリムーバブルメディアを通じて広がるおそれがある。従来よりオートラン機能を利用するケースが報告されているが、今回の攻撃では脆弱性が悪用されており、「autorun.infファイル」を必要としないのが特徴で、オートラン機能を組み合わせることでより効果的な感染活動が行われるおそれがある。
シマンテックによれば、感染するとルートキット機能により感染元のリムーバブルファイルからコピーされたファイルが隠蔽される。さらにiexplore.exeへコードを注入し、信頼されたアプリケーションとして外部との通信を行う。
複数の機能が確認されているが、今回のウイルスはグローバル展開する大手企業をを狙ったものと見られており、Siemens製ソフト「Step 7」のライブラリファイルを利用して監視制御システムのデータベースへアクセスするケースが確認されている。同攻撃では、あらかじめ用意したユーザーネームやパスワードなどを利用していたという。
感染状況は、インドが約4割、インドネシアが3割強、イランが2割強全体の9割を占めている。ただし、数は少ないものの約60カ国で感染が確認されており、拡大が懸念されている。
(Security NEXT - 2010/07/20 )
ツイート
PR
関連記事
「WatchGuard Firebox」に脆弱性 - ゼロデイ攻撃が発生、更新や痕跡調査を
「Apache StreamPark」に暗号化などの脆弱性3件が判明
「OpenShift GitOps」に権限昇格の脆弱性 - クラスタ掌握のおそれ
CiscoやSonicWallのゼロデイ脆弱性悪用に注意喚起 - 米CISA
「Node.js」のアップデートが再延期 - 年明け2026年1月7日を予定
SonicWallのリモートアクセス製品「SMA1000」にゼロデイ脆弱性
「Apache Airflow」の開発用拡張コンポーネントにRCE脆弱性
NVIDIAのロボティクスやAI開発向けシミュレーション基盤に脆弱性
Ciscoのメールセキュリティ製品にゼロデイ攻撃 - 構成や侵害状況の確認を
Fortinet複数製品の認証回避脆弱性、悪用が発生 - 設定確認を
