マイクロソフト月例パッチ：攻撃で悪用されるゼロデイ2件含む脆弱性38件が修正される、うち1件はBlackLotusが悪用（CVE-2023-29336、CVE-2023-24932）

akamatsu

2023.05.10

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめを平日毎日更新。

各見出しの末尾に、情報源のWebサイトへのリンク（赤字）が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

注目のニュースをピックアップ

2023年5月10日のサイバーアラートの中から、注目のニュースをピックアップしました（その他のニュースはページ後半に記載）。

マイクロソフト月例パッチ：攻撃で悪用されるゼロデイ2件含む脆弱性38件が修正される、うち1件はBlackLotusが悪用（CVE-2023-29336、CVE-2023-24932）

Help Net Security – News – May 09 2023 18:58

マイクロソフトは2023年5月の月例パッチで、脆弱性38件を修正した。これには、実際の攻撃で悪用されているゼロデイ2件（CVE-2023-29336、CVE-2023-24932）が含まれる。

CVE-2023-29336はWindowsのWin32kにおける特権昇格の脆弱性で、攻撃者によるSYSTEM権限の獲得を可能にするものであり、マルウェア配布に悪用されている恐れがあることが指摘されている。なおマイクロソフトは悪用がどのような文脈で行われているのかに関する詳細を提供していない。

CVE-2023-24932はセキュリティ機能であるセキュアブートのバイパスを可能にする脆弱性で、UEFIブートキット「BlackLotus」によって、別のセキュアブートバイパスの脆弱性CVE-2022-21894（昨年パッチ提供済み）を悪用するための手段として利用されている。なおこの脆弱性はセキュアブートを備えるWindowsデバイスだけでなく、Linuxにも影響を与えるという。

BlackLotusについてはこちらの記事でも紹介しています：BlackLotus：Windows 11のUEFIセキュアブートを回避する最初のブートキット

このほか、今回の月例パッチでは以下のような脆弱性が修正されている：

・CVE-2023-29325：Windows OLEにおけるリモートコード実行の脆弱性。

・CVE-2023-24955：SharePoint Serverにおけるリモートコード実行の脆弱性で、深刻度は「Critical（緊急）」。

・CVE-2023-24941：Windowsネットワークファイルシステム（NFS）におけるリモートコード実行の脆弱性で、深刻度は「Critical（緊急）」。

大手食品ディストリビューターのシスコ社がデータ侵害について報告　サイバー攻撃受け

Bleeping Computer – May 09 2023 19:47

大手多国籍食品ディストリビューターのシスコ（Sysco）社は、今年同社のネットワークを攻撃者が侵害し、事業や顧客、従業員などに関する秘密データが盗まれていたことを認めた。

同社によると、サイバーセキュリティ事象は2023年1月14日に始まったと考えられ、脅威アクターが権限なしで同社システムにアクセスし、特定のデータを入手したと主張していたという。また、同社は調査の結果、事業運営や顧客、従業員に関するデータのほか、個人データなどが抜き取られていたことが判明したとも伝えた。盗まれた従業員データは、名前、社会保障番号、口座番号（または同等の情報）といった、給与支払い目的で同社へ提出された個人情報だったと考えられている。

なおシスコは、このインシデントによる事業運営やカスタマーサービスへの支障は生じていないと報告している。

Royalランサムウェア、 LinuxとVMware ESXiにも標的を拡大

Dark Reading – May 09 2023 13:49

Palo Alto NetworksのUnit 42によると、Royalランサムウェアグループは最近、LinuxおよびVMware ESXiをも標的にできるようになったという。

RoyalはContiの元メンバーで構成されると思われるグループで、昨年夏に登場して以来、活動量を急増させてきた。特に、重要インフラヘルスケア関連の標的に対する攻撃が増加している。

Unit 42は9日に公開した分析レポートの中で、同グループが最近、ELFバイナリの形式で構築された暗号化マルウェアのLinux/ESXi版亜種を使用し始めたことを伝えている。この亜種はWindows版とかなり似ており、RSA公開鍵やランサムノート（身代金要求メモ）を含むすべての文字列が平文として保存されているという。

Unit 42によると、多数のランサムウェアファミリーがLinux/ESXiに特化した亜種を用いるようになっていることを踏まえると、今回のRoyalの動きも特殊なものではないとのこと。

2023年5月10日

ハイライト

DDoSボットネット「AndoryuBot」、Ruckus社のアクセスポイントの脆弱性を悪用（CVE-2023-25717）

Security Week – May 09 2023 09:03

FBI、ロシア連邦保安庁のマルウェアネットワーク「Snake」を無力化

Dark Reading – May 09 2023 20:40

関連記事：米政府、ロシアのスパイウェア「Snake」を無力化したと発表

2023年5月の月例パッチ – マイクロソフトはEdgeブラウザの脆弱性に対するセキュリティパッチ11件をリリースへ（CVE-2023-29354、CVE-2023-29350ほか）

Heimdal Security Blog – May 09 2023 12:41

Royalランサムウェアグループが急速に勢力を拡大

News ≈ Packet Storm – May 09 2023 15:12

SC Magazine US – May 09 2023 13:33

米連邦政府などがロシアのサイバースパイオペレーション「Snake」を解体

BankInfoSecurity – May 09 2023 20:09

SideCopyの新たな攻撃によりインドの組織が影響受ける

SC Magazine US – May 10 2023 03:55

イランの脅威グループMango SandstormとMint SandstormがPaperCutの脆弱性を悪用した攻撃に参戦（CVE-2023-27350）

Heimdal Security Blog – May 09 2023 11:08

関連記事：Cl0pランサムウェアがPaperCutにおける脆弱性を4月13日から悪用（CVE-2023-27350、CVE-2023–27351）

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。