Windowsの脆弱性突いてセキュリティ製品回避するランサムウェア「BlackByte」に注意

Sophosはこのほど、「Remove All The Callbacks – BlackByte Ransomware Disables EDR Via RTCore64.sys Abuse – Sophos News」において、正規のWindowsドライバに存在する既知の脆弱性を悪用してセキュリティソリューションを回避するランサムウェア「BlackByte」を発見したと伝えた。「BlackByte」の背後にいる攻撃者が公開したデータ漏洩Webサイトが報告されたことで再調査が行われ、このランサムウェアに回避技術が組み込まれていたことが判明している。

「RTCore64.sys」および「RTCore32.sys」は、Micro-StarのMSI AfterBurner 4.6.2.15658で使われているWindowsのドライバ。これらのドライバにCVE-2019-16098として特定されている既知の脆弱性が存在する。この脆弱性の深刻度はCVSSv3スコア値7.8で重要(High)と位置づけられており、認証されたユーザーが任意のメモリを読み書きできるため、悪用されることで特権の昇格および高権限下でのコード実行、情報漏洩などが発生する可能性があるとされている。