Threat Report

Silobreaker-CyberAlert

Androidのスクリーンショット編集機能における脆弱性「Acropalypse」、同様の脆弱性がWindowsにも存在

山口 Tacos

2023.03.23

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめを平日毎日更新。

各見出しの末尾に、情報源のWebサイトへのリンク（赤字）が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

注目のニュースをピックアップ

2023年3月23日のサイバーアラートの中から、注目のニュースをピックアップしました（その他のニュースはページ後半に記載）。

Androidのスクリーンショット編集機能における脆弱性「Acropalypse」、同様の脆弱性がWindowsにも存在

ArsTechnica – Mar 22 2023 15:29

今週初め、Googleの携帯電話機Pixelのスクリーンショット編集機能Markupの脆弱性が開示されて「acropalypse」と名付けられたが、同様の脆弱性がWindows 11のアプリSnipping Toolにも存在することが判明した。

acropalypseは、Androidで撮影・トリミングしたスクリーンショットの一部を復元できてしまうというバグだった。これは、もしも機密性の高い情報（クレジットカード番号など）が写された箇所をトリミングによって排除していた場合、大きな問題となり得る。

一方、同様のバグがWindows 11のスクリーンショット撮影・切り取りツールSnipping Toolにも存在していることが判明。acropalypseを発見したAarons氏の協力者であるBuchanan氏によると、Snipping Toolで切り取ったスクリーンショットを元の画像に重ねて保存したものへ、acropalypseのスクリプトを「少し変更した」バージョンを使用すると、オリジナルのスクリーンショットから切り取られた画像の一部を復元できたという。Buchanan氏は、「マイクロソフトにはパッチを作成する時間がない」ことを理由にスクリプトの公開を控えている。

マイクロソフトはBleeping Computerの取材に対し、この問題について「調査中」であると伝えたとのこと。

Pwn2Own 2023でWindows 11、テスラ、Ubuntu、macOSがハッキングされる

Bleeping Computer – Mar 22 2023 23:53

今年も世界最大のハッキングコンテスト「Pwn2Own」が開催された。3月22日〜24日の3日間の大会でコンテスト参加者たちに授与された賞金額は合計108万ドルで、2022年の115万5千ドルよりはわずかに少なかった。

ハッキングされた主な製品や脆弱性には以下のようなものがあった：

・Microsoft SharePoint（ゼロデイエクスプロイトチェーンを利用したハッキング、賞金10万ドル）

・Ubuntuデスクトップ版（既知の脆弱性によるハッキング、賞金15,000ドル）

・Tesla（TOCTOU攻撃によるハッキング、賞金10万ドルと景品Tesla Model 3）

・Apple macOS（ゼロデイを悪用したTOCTOU攻撃による特権昇格、賞金4万ドル）

・Windows 11（不適切な入力検証のゼロデイを使った特権昇格、賞金3万ドル）

Pwn2Ownで実演・開示されたゼロデイ脆弱性については、パッチの作成・リリースのため各ベンダーへ90日間の猶予が与えられたのち、トレンドマイクロのゼロデイイニシアチブによって一般公開される予定。

米CISA、産業用制御システムにおける重大なセキュリティ脆弱性について警告（CVE-2023-1133、CVE-2023-1139ほか）

The Hacker News – Mar 22 2023 13:09

米CISAは火曜、産業用制御システム（ICS）に関する8つのアドバイザリをリリースし、デルタ電子およびロックウェル・オートメーションの製品に影響を与える脆弱性について注意喚起した。

うち13件は、デルタ電子のInfraSuite Device Master（リアルタイム・デバイスモニタリングソフトウェア）に影響を与える脆弱性。1.0.5とそれ以前の全バージョンが影響を受ける。これらの悪用が成功すると、認証されていない攻撃者によるファイルや認証情報へのアクセス、特権の昇格、およびリモートでの任意コードの実行が可能になる恐れがあるという。

特に危険なのが、CVE-2023-1133（CVSSスコア：9.8）、CVE-2023-1139 （CVSSスコア：8.8）、CVE-2023-1145（CVSSスコア：7.8）の3件。

またCISAは、ロックウェル・オートメーションのThinManager ThinServer（シンクライアントおよびRDPサーバー管理用のソフトウェア）に関する脆弱性数件についても警告している。

特に危険なのは、CVE-2023-28755（CVSSスコア：9.8）およびCVE-2023-28756 （CVSSスコア：7.5）で（いずれもパストラバーサルの脆弱性）、認証されていないリモートの攻撃者による、ThinServer.exeがインストールされたディレクトリへの任意のファイルのアップロードが可能になる恐れがある。

影響を受けるのは、以下のバージョン：

・バージョン6.xから10.x

・バージョン11.0.0から11.0.5

・バージョン11.1.0から11.1.5

・バージョン11.2.0から11.2.6

・バージョン12.0.0から12.0.4

・バージョン12.1.0から12.1.5

・バージョン13.0.0から13.0.1

2023年3月23日

ハイライト

関連記事：新進のランサムウェア種「Trigona」に注意を

新たなマルウェアPowerMagicとCommonMagicがデータ窃取目的で脅威アクターらに使用される

Heimdal Security Blog – Mar 22 2023 08:17

フェラーリでのデータ侵害：業界の意見

IT Security Guru – Mar 22 2023 11:05

韓国がマクドナルドに罰金措置、共有設定が有効化されたSMBからのデータ流出めぐり

The Register – Security – Mar 23 2023 02:29

Dole（ドール）が従業員データへの不正アクセス発生を公表、2月にランサムウェア攻撃受け

Bleeping Computer – Mar 22 2023 19:04

関連記事：Dole（ドール）にランサムウェア攻撃か、北米の生産がストップ

Latitude Financialでのデータ侵害は当初予想されたより深刻、運転免許証のコピーめぐる懸念が高まる中

DataBreaches.net – Mar 22 2023 13:10

Independent Living Systemsでのデータ侵害で、400万人以上が影響受ける

Security Affairs – Mar 22 2023 07:28

Cisco IOS XEソフトウェアに特権昇格の脆弱性（CVE-2023-20029）

Cisco Security Advisory – Mar 22 2023 16:00

Chrome 111のアップデートは深刻度の高い脆弱性数件を修正（CVE-2023-1528、CVE-2023-1529ほか）

SecurityWeek – Mar 22 2023 14:12

Windows 11のSnipping Toolにおける脆弱性により、機微データが漏洩する恐れ

Information Security Buzz – Mar 22 2023 16:49

WellinTech製データヒストリアンソフトウェアに深刻度の高い脆弱性が見つかる（ CVE-2022-45124、CVE-2022-43663）

Security Week – Mar 22 2023 14:59

昨年悪用されたゼロデイ欠陥55件により、セキュリティリスク管理の重要性が示される

CSO Magazine – Mar 22 2023 19:47

Cisco Catalyst 9300 シリーズスイッチ用Cisco IOS XEソフトウェアにセキュアブートバイパスの脆弱性（CVE-2023-20082）

Cisco Security Advisory – Mar 22 2023 16:00

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。