2013年は0-dayの発生率が高いだけでなく、セキュリティエンジニアとハッカーの間で最も激しいゲームであり、マイクロソフトは今年、新しいセキュリティメカニズムをたくさん立ち上げ、ハッカーはまた、反復的なトリックの両側に2013年にどのようにゲームを見て、斬新な攻撃のアイデアをたくさん試しています。
主な記事
この1年間で、MicrsoftはOSの脆弱性、OfficeやIEなどのバンドルソフトの脆弱性など、数多くの脆弱性を修正しました。そして、これらの脆弱性の中でも、Internet Explorerの脆弱性は、最も話題になっている脆弱性の一つです。
2013年は、0日脆弱性の多発期であり、膨大な数の脆弱性がAPT攻撃に利用されたと言えます。以下の表では、2013年にマイクロソフトが修正した脆弱性を見ることができます。
赤で示された脆弱性は、実際に侵入に使用されたものです。
これらの脆弱性の詳細は以下の通りです。
お分かりのように、攻撃者はASLRをバイパスするために、ASLRによって保護されていないファイル内のROPによって悪用可能なコードスニペットを探しています。その一例として、Microsoft Office 2007-2010ライブラリのASLRで保護されていないhxds.dllが挙げられます。パッチで修正されました。
以下は2013年安全情報です。
下の棒グラフは、ウィンドウズ・コンポーネントのパッチ数を示しています。現在サポートされているウィンドウズのバージョンは、デスクトップシステムではウィンドウズXP SP3からウィンドウズ8.1まで、サーバーシステムではウィンドウズサーバー2003から2012 R2までです。
下図はOfficeを追加した状態です。
次の図は、これらの脆弱性がどのように悪用され、どのような影響を及ぼすかを示しています。
ドライブバイダウンロード 路过试下载:就是偷在电脑里面装东西。
ローカル特権の昇格: これはローカルで特権を昇格させる方法です。通常、ユーザランドの制限を逃れるためにカーネルコードを使用します。
リモートコード実行 : 攻撃者は、ページ、電子メール、インスタントメッセージなどを通じて、リモートでコードを実行することができます。
上のグラフからわかるように、リモートでコードを実行される脆弱性は、Internet Explorer、.Net framework、Silverlightプラグインなどで確認されています。これらの脆弱性のほとんどは、Internet Explorer を通して引き起こされます。攻撃者は、上記のソフトウェアの脆弱性をトリガーするために、注意深く構築されたページを使用します。ユーザーは、Internet Explorerのいくつかのオプションを使用することで、攻撃を防ぐことができます。 拡張保護モードまたはサンドボックスモードがこの効果を実現します。
Win8 64ビットでのIE 11のスクリーンショット
デフォルトでは、ウィンドウズ8以降、IEのタブバーは32ビットプロセスを使用して実行されます。これは、32ビットプロセスは64ビットプロセスよりもメモリアドレスがはるかに小さいため、ヒープスプレー攻撃を受けやすいからです。ヒープ・スプレー攻撃はASLRを回避するためにもよく使われます。Officeの脆弱性はフィッシング攻撃の補助として使われることが多く、誘惑的な電子メールでDOC文書をダウンロードしてクリックするよう要求され、DOC文書を開くと悪意のあるコードが実行されます。
Microsoft Word 2013およびOutLook 2013の最新バージョンには、特別なセキュリティオプションが含まれています。これらのセキュリティ オプションは、いくつかの安全でないメカニズムを無効にします。たとえば、Outlook は Word プロセスの実行に低権限を使用しますが、これはシェルコードによる関数の実行を効果的に防止するものです。
GUIサブシステム・ドライバ、win32k.sys、いくつかのシステム・ドライバ、ntoskrnlなど、カーネル状態で実行されるコンポーネントの中には、侵入者が特権を昇格したり、ユーザー状態の制限を迂回したりするのに役立つものもあります。その中でも、win32k.sys ドライバが最も問題視されており、以下の図は 2013 年と 2012 年の脆弱性を示しています。グレーのバーは2012年のものです。
2013年のGUIサブシステム・ドライバ、win32k.sys、Internet Explorerの脆弱性の圧倒的な多さをご覧ください。
以下のグラフは、0-dayエクスプロイトが使用された時期と使用された組織を示しています。2013年は、APTと水たまり攻撃の年であったと言えます。水たまり攻撃は、あなたがよく利用するWebサイトを攻撃し、間接的にあなたを攻撃する侵入者にますます好まれるようになっています。2014年も、水たまり攻撃は最も人気のある攻撃手法の1つになるでしょう。
マイクロソフトは2013年に頻発する脆弱性に対応しました。主な変更点はメモリ割り当てメカニズムで、SharedUserDat内のntdll関数へのポインタの多くを削除し、信頼できないプログラムへのカーネルオブジェクトポインタ情報の提供を禁止しました。
ウィンドウズ8におけるもう一つの興味深い改良点は、マイクロソフトが編集したすべてのファイルに強化されたASLRオプションが含まれていることです。High Entropy ASLR(HEASLR)オプションは、すべてのwindows 8以上でサポートされており、脆弱性が悪用されるのをある程度防ぎます。
