CVE-2018-4878 vs Traps

Printer Friendly Page

パロアルトネットワークスは、CVE-2018-4878の検体を入手し、次世代エンドポイントセキュリティ Traps で検証を実施し、防御可能なことを確認しています。本記事では、技術検証した結果のみを記載します。

本記事を記載している時点では、Adobe社からの修正プログラムは公開されておらず、ゼロデイ脆弱性の状態となっております。

 

 

 

【Trapsエージェント上で攻撃を阻止した画面】 (脆弱性対策機能:DLLSec)

 2018-02-05_18h00_19.jpg

 

 

 

 

 

 

 

 

 Adobe Flash PlayerがインストールされたInternet Explorer 11に攻撃ファイル(SWF)を読み込ませると、

Trapsは、CVE-2018-4878の攻撃を阻止することができました。

 

Trapsが多数持つ脆弱性対策技術の中で、下記の機能により阻止可能であり、

どちらか一方の機能が無効になっていたとしても阻止することが可能です。

 ・DLLへの不審なアクセスによる防御(DLLSec)

 ・安全でないコードエリアからの疑わしいAPIコール(JIT Mitigation)

  

 

【ブロック時のログ】 (脆弱性対策機能:JIT Migigation)2018-02-05_18h18_11.jpg

 

 

 

 

 

 

 

 

 

 

 

Trapsでは脆弱性が悪用された場合は、攻撃時に発生した通信やアクセスしたファイル、メモリダンプなどを取得し、調査に必要なデータを取得することができます。

 

万が一Trapsの脆弱性機能を無効にしており、脆弱性を悪用されて不正なマルウェアファイルが実行された場合でも、Trapsは下記に代表される機能で攻撃を阻止することができます。

・悪意のあるプロセス制御

・クラウド上の脅威データベース

・機械学習/静的解析

・クラウド上での動的解析

 

▼検証環境
Windows 7 32bit

Internet Explorer 11 + Adobe Flash Player 28.0.0.137

Traps 4.1.1 Content Update 32-2204

 

■検体ハッシュ値  (SHA-256)

1a3269253784f76e3480e4b3de312dfee878f99045ccfd2231acb5ba57d8ed0d

Ask Questions Get Answers Join the Live Community
記事ダッシュボード
バージョン履歴
改訂番号
5/5
最終更新:
‎02-05-2018 01:32 AM
更新者:
 
寄稿者: