FFR とってもキケンなWindows 2000セミナーの内容 第1部

CA3A0730
FFRさんの 『とってもキケンなWindows 2000』セミナーに行ってきました。
と言う訳で、話の概要をまとめてみました。

青字は私の思ったことです。


・2003年ごろから攻撃の意図目的が明確化し、攻撃の技術が向上してきており、愉快犯的な攻撃が減少、代わりに標的型攻撃などの情報やBotなどによる金銭搾取目的としたものが増えてきた。

・従来なマルウェアと異なり、攻撃が分かりにくくなってきた。
例:多段型、ゼロディを使用、攻撃対象が限定的なので気づきにくい。

・こういったものからは守るための適したソリューションが存在無い。

・セキュリティアップデートのパッチ差分解析でシステムの影響が簡単に分かる。
解析内容のスライドを見るとHex-Rays decompiler の出力結果のように見えた。
・Windows XPと2000のシステムは似通ってるため、月例のパッチ配信がWindows 2000へのゼロデイ攻撃を助長するという皮肉な要因に。

パッチ差分解析で分かること。
・別の脆弱性が密かに修正されている可能性。
・脆弱性が修正できてない可能性。
・ベンダーが告知している脆弱性の危険区分が実は正確でない可能性。
勘違いしてる人がいるので説明しますが、『パッチ解析』はWindows 2000の最終パッチを解析するのではなくて、リリースされたXPのパッチと、直前のバイナリを比較して、脆弱性がどのように利用できるか解析するものです。

差分解析で、攻撃の手口の確認(アタックベクタ)ができる。

対応策について
・ソリューション防御が可能か→FWやIDSなどで防御。
・ただし、通信方式で防御できないケースもある。
・エンドポイントでの脆弱性対策がYarai で可能。

Yaraiについて
・CVE2001~2006の脆弱性コードの99%をカバー
・任意コード実行型(インコード)脆弱性のみ防ぐことができ、
・設計脆弱性は防御不能→バイナリパッチングで防ぐことはできる。
・MS10-046は設計脆弱性なので、Yaraiでは防げないが、感染ルートが限定的なので、緊急パッチのリリースが必要というわけではなかった。

と言う訳で第2部へ 続きます

関連記事:
FFRセミナー受付締切迫る
Windows 2000 セミナー

関連サイト:
パッチ解析で高まるWindows 2000の危険性、「継続利用はリスク」と専門家(ITmedia エンタープライズ) - livedoor ニュース

おすすめ

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です