数日前、Microsoft は SmartScreenの改善を発表しました。SmartScreenは、今日のサイバー犯罪者に非常に人気のあるドライブバイダウンロード攻撃をブロックすることを目的としています。 このタイプの攻撃により、攻撃者は侵害されたWebサイトにアクセスしたときに、エクスプロイトを使用してユーザーのコンピューターにマルウェアを自動的にインストールできます。
ドライブバイダウンロードでは、原則として、Webブラウザ自体(Internet Explorerなど)または一般的なプラグイン(Adobe Flash Player、Oracle Javaなど)のいずれかに対してRCEエクスプロイトが選択されます。 このエクスプロイトは、ゼロデイ脆弱性と、ベンダーによって修正が既に発行されている脆弱性の両方を使用できます。 エクスプロイトキットはドライブバイダウンロードの実装に関与しているため、攻撃者はさまざまな製品とそのバージョンに対して1つではなく複数の異なるエクスプロイトを使用できます。
閲覧パフォーマンスへの影響を避けるため、SmartScreenは、SmartScreenサービスによって作成された小さなキャッシュファイルを使用して、ドライブバイ攻撃から保護します。 このキャッシュファイルはブラウザによって定期的に更新され、ユーザーを保護し、ページに悪意のあるコンテンツが存在する可能性が高いと判断された場合にのみSmartScreenサービスへの呼び出しが行われるようにします。
Microsoftは、ドライブバイダウンロードで使用されるSmartScreen悪意のある要素をブロックするために、Edge WebブラウザーやInternet Explorer、Bing検索エンジン、Windows Defenderディフェンダーなど、さまざまなソースを使用して収集されたサービスデータとテレメトリーデータが使用されることを指摘していますEMETも。
図 Edge WebブラウザのSmartScreenドライブバイ攻撃ブロックウィンドウ。
SmartScreenはデフォルトで有効になっており、IE 10.11またはブラウザによってロードされたEdge Webページに潜在的に悪意のあるフレームがあることをユーザーに警告します。 この改善は、主要な1511 OS アップデートの一部としてWindows 10ユーザーに提供されました。