ここから本文です

WindowsのPatchGuardを迂回する新手法「GhostHook」、セキュリティ企業が報告

6/23(金) 8:52配信

ITmedia エンタープライズ

 セキュリティ企業のCyberArkは6月22日、64ビット版のWindowsに搭載されているカーネル保護技術「PatchGuard」(別名Kernel Patch Protection)を迂回できてしまう新しい攻撃手法を発見し、「GhostHook」と命名したと発表した。攻撃者がPatchGuardを迂回できれば、管理者権限を奪取しやすくなる恐れもあるとしている。

【CyberArkのブログ】

 CyberArkによると、Windows 10でPatchGuardを迂回できる攻撃手法が報告されたのは初めてだという。ただしGhostHookの攻撃手法を利用するためには、攻撃者が既に標的とするシステムに侵入し、制御している必要がある。

 しかしこの手法を使えば、攻撃に気づかれないままシステムに潜伏し、64ビットシステムをカーネルレベルで完全に制御することも可能だとCyberArkは解説。国家が関与して特定の標的を執拗に狙うAPT攻撃に使われるような、高度な64ビットマルウェアの氾濫につながる可能性もあるとしている。

 CyberArkによれば、Microsoftはこの攻撃手法について、「攻撃者がシステム上で既にカーネルコードを実行している必要があるので、セキュリティアップデートを提供する基準には満たない。しかしWindowsの今後のバージョンで対応する可能性はある」とコメントしているという。