W32.Stuxnet に関する解析を続けた結果、この脅威は合計 4 件のゼロデイ脆弱性を利用していることが明らかになりました。USB デバイスを介して Stuxnet の拡散に利用される .lnk ファイルの脆弱性については、以前にこちらで説明していますが、さらに詳しい調査で、Stuxnet はそのほかにもリモートコード実行の 1 件の脆弱性と、ローカル権限昇格の 2 件の脆弱性も利用していることが判明しました。シマンテックはこれらの脆弱性を Microsoft に報告し、Microsoft は本日、印刷スプーラに関するリモートコード実行の脆弱性(CVE-2010-2729)に対応したパッチを公開しました。Microsoft はローカル権限昇格の脆弱性についても調査を進めており、今後のセキュリティ情報で対処する予定であると発表しています。 シマンテックはすでに、印刷スプーラの脆弱性に対するシグネチャを公開しました。IPS シグネチャを更新したユーザーは保護されますが、パッチを適用してこの脆弱性を除去する必要があることは言うまでもありません。 Stuxnet は、この印刷スプーラの脆弱性を悪用して、感染したコンピュータから別のコンピュータへ自身をコピーします。印刷スプーラの脆弱性自体は、脆弱なコンピュータの %System% ディレクトリへのファイルの書き込みを許してしまいます。Stuxnet はまずこの脆弱性を利用して自身のコピーを脆弱なコンピュータに埋め込み、次に WBEM の機能を使ってリモートコンピュータ上でそのファイルを実行します。 1 件のゼロデイ脆弱性が脅威に利用されるだけでも厄介ですが、ゼロデイ脆弱性が 4 件となればもう非常事態です。この脅威の特徴はその点にあります。パッチが適用されていない既知の脆弱性をこれほど多く利用する脅威が出現したのは、私たちも初めての経験です。Stuxnet は、ゼロデイ脆弱性のほかにも各種の脆弱性を利用しています(たとえば、Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability (Microsoft Windows Server サービスの RPC 処理においてリモートでコードが実行される脆弱性)など)。Stuxnet がきわめて緻密に、巧妙かつ計画的に設計されていることが、この点からもわかります。 シマンテックでは現在、Stuxnet に関する報告書を作成中であり、9 月 29 日から 10 月 1 日までバンクーバーで開催される Virus Bulletin の年次カンファレンスで発表する予定です。この脅威の詳しい情報は、そこでお伝えできるでしょう。 パッチが適用されていないコンピュータで Windows 2003 Server を実行している場合に、この脆弱性が悪用される様子を紹介したビデオを作成しました。このビデオでは、ペイロードがリモートコンピュータに転送され、リモート環境で実行されています。