Kaspersky Labは4月7日(現地時間)、「APT group ToddyCat exploits a vulnerability in ESET for DLL proxying|Securelist」において、セキュリティ企業「ESET」の複数のソリューションが検出の回避に悪用されたと伝えた。

これは持続的標的型攻撃(APT: Advanced Persistent Threat)グループの「ToddyCat」による2024年初頭のインシデント調査中に発見されたという。攻撃者は「ESET Command line scanner」の脆弱性を悪用し、悪意のあるDLL(Dynamic Link Library)のロードに成功したと見られる。

  • APT group ToddyCat exploits a vulnerability in ESET for DLL proxying|Securelist

    APT group ToddyCat exploits a vulnerability in ESET for DLL proxying|Securelist

ESET Command line scannerの脆弱性の概要

Kaspersky Labにより発見された脆弱性は「CVE-2024-11859」として追跡されている。DLL検索順序の脆弱性とされ、DLLサイドローディングによる検出回避を可能にする。

ESETは4月4日(現地時間)、「[CA8810] DLL Search Order Hijacking Vulnerability in ESET products for Windows fixed」において、脆弱性の概要を公開した。ESETの発表によると、影響を受ける製品をインストールしている環境では、特定のフォルダーに悪意のあるDLLファイルを配置し、ESET Command line scannerを実行することでDLLファイルの実行が可能とされる。

高度な攻撃ツール「TCESB」の概要

このインシデントでは悪意のあるDLLファイルとして、高度な攻撃ツール「TCESB」が実行されている。Kaspersky Labの分析によると、オペレーティングシステムのカーネル構造を変更して、システム内のプロセス作成イベントやロードイベントなどの通知ルーチンを無効にする機能が含まれるという。

  • 侵害経路 - 引用:Kaspersky Lab

    侵害経路 引用:Kaspersky Lab

また、暗号化された追加のペイロードをメモリ上で直接実行する機能を持つとされる。Kaspersky Labは追加のペイロードの入手に失敗したと報告しており、これ以降の攻撃については明らかになっていない。

脆弱性が存在する製品

脆弱性が存在する製品およびバージョンは次のとおり。

  • ESET NOD32 Antivirus、ESET Internet Security、ESET Smart Security Premium、ESET Security Ultimate 18.0.12.0およびこれ以前のバージョン
  • ESET Endpoint Antivirus for WindowsおよびESET Endpoint Security for Windows 12.0.2038.0、11.1.2053.2およびこれ以前の各バージョンファミリー
  • ESET Small Business SecurityおよびESET Safe Server 18.0.12.0およびこれ以前のバージョン
  • ESET Server Security for Windows Server (旧称:File Security for Microsoft Windows Server) 11.1.12005.2およびこれ以前のバージョン
  • ESET Mail Security for Microsoft Exchange Server 11.1.10008.0、11.0.10008.0、10.1.10014.0およびこれ以前の各バージョンファミリー
  • ESET Security for Microsoft SharePoint Server 11.1.15001.0、11.0.15004.0、10.0.15005.1およびこれ以前の各バージョンファミリー

上記の製品一覧に、サポート終了(EOL: End-of-Life)に達した製品は含まれていない可能性がある。

脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

  • ESET NOD32 Antivirus、ESET Internet Security、ESET Smart Security Premium、ESET Security Ultimate 18.1.10.0およびこれ以降のバージョン
  • ESET Endpoint Antivirus for WindowsおよびESET Endpoint Security for Windows 12.0.2045.0、11.1.2059.0およびこれ以降の各バージョンファミリー
  • ESET Small Business SecurityおよびESET Safe Server 18.1.10.0およびこれ以降のバージョン
  • ESET Server Security for Windows Server (旧称:File Security for Microsoft Windows Server) 11.1.12009.0およびこれ以降のバージョン
  • ESET Mail Security for Microsoft Exchange Server 11.1.10011.0、11.0.10010.0、10.1.10017.0およびこれ以降の各バージョンファミリー
  • ESET Security for Microsoft SharePoint Server 11.1.15003.0、11.0.15007.0、10.0.15008.0およびこれ以降の各バージョンファミリー

ESETはこれら影響を受ける製品の利用者に対し、修正バージョンにアップデートすることを推奨している。また、Kaspersky Labは調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。