Yukishi log. 
嫌な話ですが、新しい攻撃手法が広まりつつあるようです。今回、新たな攻撃手法として注目されているのが Microsoft’s Application Verifier という仕組みを悪用し、不正なDLLを読み込ませる攻撃手法です。
詳細は記事末文のサイトで見ることができますが、英文サイトなので要約を下記に記載しておきます。該当の構成を利用されている方は早めに対処して方がよいでしょう。
DoubleAgent attack の特徴
- Microsoft’s Application Verifierという、Windowsのデバッグ用の機能を悪用する。
- レジストリの特定のキーに値を設定することで、不正なDLLをロードさせ、アンチウイルスソフトウェアが、管理権限付き攻撃基盤として使えるようになる。
- このDLL注入はアンチウイルスソフトだけでなく、全てのアプリケーションに対して有効となる。
- PoCコードが公開されている。
- 攻撃動画公開中。
- Cybellumの研究者が発見した。
- 現在、MalwareByte社のみがパッチを提供している。
- 各ベンダの修正パッチの公開は未定。
影響を受けるAVソフト
- Avast (CVE-2017-5567)
- AVG (CVE-2017-5566)
- Avira (CVE-2017-6417)
- Bitdefender (CVE-2017-6186)
- Trend Micro (CVE-2017-5565)
- Comodo
- ESET
- F-Secure
- Kaspersky
- Malwarebyte
- McAfee
- Panda
- Quick Heal
- Norton
この攻撃は、前提としてレジストリアクセスが必要です。
外部からの直接攻撃には使用できないため、脅威ではないように思えますが、何からの手段で、レジストリが改竄できる段階まで侵害された場合、甚大な被害に繋がる可能性を秘めています。
