セキュリティソフトを乗っ取るDoubleAgent攻撃、トレンドマイクロなどが対策を実施

トレンドマイクロによる告知

　トレンドマイクロ（株）は23日、統合セキュリティソフト「ウイルスバスター クラウド バージョン11」向けの修正モジュールを公開した。“DoubleAgent”と呼ばれる脆弱性（CVE-2017-5565）への対策を行うもので、現在、同社のサポートページから無償でダウンロード可能。自動アップデート機能を介した配信も行われる予定だという。

　“DoubleAgent”は、開発者向けに提供されているアンマネージコードの実行時検証ツール“Application Verifier”のゼロデイ脆弱性を突いて、任意のコードを実行する攻撃手法。プロセスが開始されるたびに乗っ取った検証ツールで攻撃コードを注入することにより、ウイルス対策ソフトの自己防御メカニズムをすべて迂回し、完全に制御できるという。

　トレンドマイクロ社によると、本脆弱性を悪用した攻撃は23日現在確認されていない。また、一般的な利用環境ではインターネット経由による直接攻撃を受けることはない。

　Microsoftは、このようなシナリオにも有効な“Protected Processes”と呼ばれる仕組みをWindowsに搭載しているが、本脆弱性を公表したセキュリティベンダーCybellum社によると、ウイルス対策ソフトによる対応は進んでおらず、「Avast」「AVG」「Avira」「Bitdefender」「Comodo」「ESET」「F-Secure」「Kaspersky」「Malwarebytes」「McAfee」「Norton」「Panda」「Quick Heal」などを含む主要なウイルス対策ソフトで“DoubleAgent”攻撃が有効であることを検証しているという。ただし、ESET社は自社製品ですでに“Protected Processes”がサポートされており、自己防衛機能が有効に働いていると主張している。

　なお、Kaspersky Lab社によると“DoubleAgent”攻撃の検知とブロックは22日から「Kaspersky」製品へ導入済みであるという。他のベンダーによる対策も前後して実施されるはずなので、アップデートを怠らないようにしたい。