フォッリーナとの戦い:アプリケーションの脆弱性と検出の可能性 from darkreading.com
security summary
ただし、Microsoft Officeから呼び出されたURLリダイレクトを介した使用はこれまで知られていなかったため、MSDTの悪用の可能性の範囲がリモートメカニズムにまで拡大しました。
さらに、Microsoftのガイダンスで説明されているように、リンクとしてアイテムを起動するMSDTの機能は、Windowsレジストリを変更することで無効にでき、真のパッチが利用可能になるまで、この侵入ベクトルを削除できます(予期しないまたは望ましくない結果が生じる可能性があります)。
さらに、MSDTを介したコード実行の前兆となるアクションがあり、防御側はこれを利用して、悪用につながる疑わしい動作を特定できます。
攻撃者がこの手法をどのように使用するか、および攻撃者の目的を達成するために必要なエクスプロイト前後のアクションを適切に理解することにより、防御側は、複数の潜在的な侵入ベクトルに対して機能する検出、応答、およびハンティング戦略の特定を開始できます。
したがって、これらの配布経路の可視性を特定して向上させ、未知または信頼できないベクトルへの露出を制限し、同様のアクションにより、MSDTの悪用を超えたペイロードに使用できる複数のタイプの配信メカニズムに対する攻撃対象領域を減らすことができます。
全体として、新しい潜在的に未知の(または「ゼロデイ」)脆弱性の実際の悪用が行われた場合でも、ネットワーク防御者はさまざまなオプションを利用できます。
コメント