シマンテック】WinHelp ファイルの悪用を続ける標的型攻撃

攻撃経路としてWinHelp ファイルを使う手口が増えてい る一因は、攻撃者が脆弱性を悪用せずにコンピュータに侵入できることにあります。攻撃者はソーシャルエンジニアリングを使って被害者を欺き、標的型の電子メールに添付 したWindows ヘルプファイルを開かせようとします。 Windows ヘルプファイルにはWindows API を呼び出す機 能があり、これを利用すればシェルコードの実行と悪質なペイロードファイルのインストールが可能になります。こ の機能は脆弱性の悪用ではなく、本来の仕様です。 Microsoft 社はこの機能がセキュリティ上問題であることをすでに認識しており、2006 年からはWinHelp のサポー トを段階的に廃止しています。しかし、こうした段階的な 措置を経てもなお、WinHelp が攻撃者にとって有力な標的型攻撃の手段であることは変わっていません。

http://www.symantec.com/connect/blogs/winhelp