新型のトロイの木馬が管理者権限を攻撃者に付与〜New TrojanHorse Provides Attacker with Administrative Privileges〜 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.14(木)

新型のトロイの木馬が管理者権限を攻撃者に付与〜New TrojanHorse Provides Attacker with Administrative Privileges〜

国際 海外情報

◆概要:
 新型のトロイの木馬であるGetAdminは、コンピューターの管理者権限を攻撃者に付与する。Windows NT 4.X Service Pack 4よりも前のオペレーティングシステムを利用するコンピューターが脆弱である。
マイクロソフト社のオンライン ドキュメント
http://support.microsoft.com/directory/article.asp?ID=KB;EN-US;Q146965& によれば、Getadmin.exeは現在拡散中である。Getadmin.exeは、39,396バイトの.dll ファイルと30,720バイトの.exe ファイルの2つのコンポーネントで構成されている。

 Getadmin.exeをWindows NT 4.X SP4よりも前のコンピューターで実行すると、管理者権限が一般ユーザーに与えられる。権限の変更には、Getadmin.exeをローカル実行する必要がある。hotfix を適用した場合でも、「デバッグプログラム」へのアクセス権を持つ全てのアカウントがGetadmin.exeを実行できる。

◆別名:
Exploit-GetAdmin、GetAdmin

◆情報ソース:
・ Network Associates Inc./McAfee.com
( http://vil.nai.com/vil/content/v_99385.htm ), March 14, 2002
・ iDEFENSE Intelligence Operations, March 14, 2002

◆分析:
(iDEFENSE 米国) ユーザーは、ゲストアカウントと標準アカウントによるデバッグプログラムの実行が可能なネットワーク上で、GetAdminを簡単に実行できる。GetAdminを脆弱なコンピューター上で実行すると、ローカル攻撃者に管理者権限が与えられる。ただしほとんどの企業環境では、アカウント設定にもよるが、攻撃開始に必要な条件が揃うことは稀であると思われる。

◆検知方法:
 Windows NTネットワークグループを確認し、低レベルのグループが管理者グループに追加されていないかどうかを調べる。Getadmin.exe (30,720 バイト)の有無とログファイルを確認し、トロイの木馬を実行して高度な権限を取得した可能性のあるユーザーを調べる。

◆リカバリー方法:
 マイクロソフト社が提供する、Windows NT 4.X SP4用のhotfixを適用する。
入手先は以下の通り。

ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt40/hotfixes-postSP3/getadmin-fix.
◆暫定処置:
 管理者以外の全てのグループを設定して、デバッグプログラムを無効にする。
アカウントの割り当てを調べ、管理者以外のユーザーによるシステムのコントロールを禁止する。さらに、Windows NTのアップデートを適用して、使用コンピューターとネットワークの脆弱点の数を制限する。

◆ベンダー情報:
 ネットワークアソシエイツ社/McAfee.comのアンチウイルスソフトウェアが、現在この悪意のあるコードに対応している。他のアンチウイルスソフトウェアでも、経験則を用いてこのコードの検知が可能と思われる。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
 情報の内容は以下の時点におけるものです。
 【15:44 GMT、03、15、2002】

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

    死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

  2. どこかへ跳んでいけ、出来の悪いラビット(The Register)

    どこかへ跳んでいけ、出来の悪いラビット(The Register)

  3. 米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

    米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

  4. 捜査中だった米大統領選に使用されたサーバのデータが消失(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

  7. インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

  8. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  9. スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

  10. Mac OS X のシングルユーザモードの root アクセス(2)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×