Positive Technologiesのアプリケーション分析スペシャリストであるMaxim Kozhevnikovは、McAfee Application Control(MAC)製品の一部であるSolidcore ATMセキュリティシステムに危険な0日脆弱性を発見しました 。 このエラーにより、攻撃者は任意のコードを実行し、システムの特権を増やすことができます。
問題は何ですか
ゼロデイ脆弱性CVE-2016-8009は、大手銀行のATMのセキュリティの分析中に発見されました。 Solidcoreシステムは、多くのWindows用ATMで使用され、ホワイトリストを使用して悪意のあるファイルを検出およびブロックし、実行中のプロセスの特権を制御します。 Solidcoreは元々Solidcore Systemsの製品でしたが、2009年にMacAfeeによって購入され、Intelが順番に購入しました。 現在、SolidcoreはMcAfee Application Control(MAC)製品の一部ですが、多くはまだ市場で古い名前を使用しています。
Positive Technologiesの専門家によって発見された脆弱性により、権限のないユーザーがドライバーの1つのIOCTLプロセッサを使用して、Windowsカーネルのメモリを破損することができます。 この脆弱性を悪用すると、SYSTEM特権で任意のコードが実行されたり、GuestからSYSTEMにユーザー特権が昇格したり、OSが緊急停止したりする可能性があります。
研究の過程で、この脆弱性により、Solidoreコンポーネントをオンデマンドで管理し、SYSTEM権限を実行することができました-特に、ePolicy Orchestrator管理サーバーとのSolidcoreの対話の無効化、Solidcore管理コンソールのロックアウトの無効化、パスワード保護の無効化、およびシステムプロセスへのコードインジェクションの実装 攻撃者は脆弱なドライバーにアクセスできるため、これを使用して、保護と管理サーバーとの通信を完全に無効にすることなく、Solidcoreホワイトリストにマルウェアを追加できます。
このような脆弱性を知っているハッカーは、特別に準備されたマルウェアを使用して、関心のある銀行に対して攻撃を成功させることができます。 そして、同様の攻撃がすでに行われています。 特に、2014年にTyupkin ATMでトロイの木馬が発見されました。これは、 Solidcoreを無効にして悪意のある活動を隠すことができるという事実によって区別されます。 このトロイの木馬のおかげで、犯罪者は注意を引かずに東ヨーロッパのATMから数十万ドルを盗むことができました。
リスクを軽減する方法
Intel Securityは、検出されたバグのパッチをリリースしました。 Positive Technologiesの専門家によると、開発者がドライバーのディスパッチ機能にアクセスするためのユーザー認証メカニズムを提供すれば、攻撃者がドライバーを使用するリスクを減らすことができます。 これが不可能な場合、I / O要求のスケジューリングは、WDMのSDL要件に従う必要があります。
クライアント側、つまり銀行の保護対策に関して、主な対策は、ATMのセキュリティの定期的な監査、およびATMの安全なセットアップのためのポリシーの作成と、これらのポリシーへのコンプライアンスの継続的な監視です。 このような制御により、キオスクモードのバイパスやBIOSでのパスワードの欠如など、最も単純な脆弱性を悪用する攻撃に対するATMのセキュリティが大幅に向上します。 標的型攻撃をリアルタイムで検出するには、セキュリティイベントモニタリングシステム( SIEM )を使用することをお勧めします。これにより、異常なデバイスをATMに接続する、突然の再起動、キーを頻繁に押す、禁止されたコマンドを実行するなど、疑わしいアクションまたはアクションの組み合わせを検出できます。