Microsoft は、2014年10月の定例セキュリティ更新で、FAT32 ディスク パーティション ドライバに存在する脆弱性に対するセキュリティ更新プログラム「MS14-063」を公開した。この問題の脆弱性「CVE-2014-4115」を利用した攻撃者は、侵害した PC の権限を昇格できるようになる。

トレンドマイクロは、ファイルシステムドライバに注目した。USB ドライブを介して PC を攻撃するために利用されるからだ。例えば、「STUXNET(スタクスネット)」を利用した攻撃では、まず Windows のショートカットファイルに存在する脆弱性を利用して、Windows のシェルコードを簡単に実行できるようにした。その後、管理者権限を取得するために別の脆弱性を利用することで感染を広げた。ファイル・システム・ドライバに存在する脆弱性は、通常は別々の2つの手順を1つで実行するために利用される。

「CVE-2014-4115」は、Windows Vista および Server 2003、Server 2008 のファイルシステムドライバ “FASTFAT.SYS” に存在する脆弱性。このドライバは、FAT32 といった FASTFATファイルシステムを扱う。FAT32 形式のドライブ上で、特定の「BIOS Parameter Block(BPB)」を持つブートセクタを扱う際に、この脆弱性が利用される可能性がある。

FAT32 は、USB ドライブで現在もまだ一般的に利用されている。そのため、攻撃者は、この脆弱性を利用して標的型攻撃を実行できる。例えば、企業の上級役員のノートパソコンや企業のイントラネット内の PC に、特別に細工された USBドライブが挿入されたとする。その結果、外部の攻撃者がこれらの PC を制御し、標的型攻撃に利用できるようになる。

トレンドマイクロは、企業のシステム管理者に対して、企業のネットワーク内における USBドライブの利用に関して、現在の方針を再考することを勧めている。