マイクロソフト月例パッチ:Windows、SharePoint、Exchange等の重大な脆弱性が修正される(CVE-2023-29357ほか) | Codebook|Security News
Codebook|Security News > Articles > Threat Report > マイクロソフト月例パッチ:Windows、SharePoint、Exchange等の重大な脆弱性が修正される(CVE-2023-29357ほか)

Threat Report

Silobreaker-CyberAlert

マイクロソフト月例パッチ:Windows、SharePoint、Exchange等の重大な脆弱性が修正される(CVE-2023-29357ほか)

山口 Tacos

山口 Tacos

2023.06.14

マイクロソフト月例パッチ:Windows、SharePoint、Exchange等の重大な脆弱性が修正される(CVE-2023-29357ほか)

2023年6月の月例セキュリティ更新プログラムは脆弱性70件に対処

マイクロソフトが2023年6月の月例セキュリティ更新プログラムをリリースし、脆弱性70件に対処した。うちRCEにつながり得るものは38件あるが、深刻度が「Critical(緊急)」に分類されているものは6件。今回修正されたものの中には、ゼロデイ脆弱性や悪用が確認されている脆弱性はない模様。

注目に値する脆弱性

CVE-2023-29357:Microsoft SharePoint Serverにおける特権昇格の脆弱性(Critical)

3月に開催されたハッキングコンテストPwn2Own Vancouverで明かされた脆弱性の1つであり、悪用に成功した攻撃者は管理者権限を得られるようになる可能性があるとされる。Trend MicroのZero Day Initiativeで脅威アウェアネス部門長を務めるDustin Childs氏は、Pwn2Own Vancouverにおいてこの脆弱性が認証をバイパスするために使われていたことに触れ、早急なパッチ適用に値すると指摘している。

またAutomoxのCIO/CISOであるJason Kikta氏は、公開されているSharePointインスタンスの大規模な悪用が近い将来に高い確率で起こり得るとの考えを示した。さらに、アクターは何らかの内部システムにアクセスした直後にこの脆弱性を悪用する可能性が高いことに触れ、24時間以内のパッチ適用を推奨している。

CVE-2023-32031:Microsoft Exchange Serverにおけるリモートコード実行の脆弱性(Important)

同脆弱性の悪用には認証が必要なものの、悪用が成功すれば、サーバーのアカウントのコンテキストでのネットワークコールを通じた悪意あるコードの実行が可能になる恐れがある。

Kikta氏は、攻撃の複雑度が低いことやユーザー操作が不要なことを理由に、悪用を回避するため24時間以内に同脆弱性へのパッチ適用を行うよう推奨している。

悪用が確認済みの脆弱性を含まない月例パッチは1年ぶり

今回のマイクロソフト月例パッチでは、上記のほか、 CVE-2023-33133(Excel)、 CVE-2023-33133(Excel)、CVE-2023-33137(Excel)、CVE-2023-33140(OneNote)、CVE-2023-33131(Outlook)といった脆弱性も修正された。合計で70件の脆弱性へのパッチがリリースされているが、いずれも悪用は確認されていないという。月例パッチの中に悪用されている脆弱性が含まれないのは、2022年6月のもの以来1年ぶり。なお先月の月例パッチでは、対処された脆弱性の総数は48件と今月より少なかったものの、攻撃で悪用されていたゼロデイ2件(CVE-2023-29336、CVE-2023-24932)が含まれ、うち1件はBlackLotus関連の攻撃での悪用が報告されていた。

ただ、現時点で悪用の報告がないとはいえ、今後悪用が始まる可能性はある。したがってマイクロソフト製品の利用者・管理者には、アドバイザリの確認と適切なパッチ適用が推奨される。

(情報源:BleepingComputer ”Microsoft June 2023 Patch Tuesday fixes 78 flaws, 38 RCE bugs”、Help Net Security “June 2023 Patch Tuesday: Critical patches for Microsoft Windows, SharePoint, Exchange”、マイクロソフト “Security Update Guide”)

VMware ESXiのゼロデイを中国ハッカーUNC3886が悪用:CVE-2023-20867

VMware Toolsにおける認証バイパスの脆弱性をUNC3886が悪用

VMwareによって13日に修正されたVMware ESXiのゼロデイ脆弱性CVE-2023-20867が、中国の国家支援型サイバースパイグループUNC3886によってバックドア設置およびデータ窃取のために悪用されていることが明らかになった。

CVE-2023-20867はVMware Toolsにおける認証バイパスの脆弱性で、MandiantによればUNC3886は侵害したESXiホスト上で権限をrootに昇格させ、そこから同脆弱性を悪用してゲストVM上に2種のバックドア(VirtualPita、VirtualPie)を展開していたとされる。

認証ログも形跡も残さずに悪用

CVE-2023-20867を利用することで、攻撃者はゲスト用認証情報を求められることなく、またアクティビティをログに残されることなく、侵害済みのESXiホストとゲストマシン間でファイルを転送させることができるようになったという。Mandiantは、「コマンドがESXiホストから実行される場合、CVE-2023-20867の利用によりゲストVM上で認証ログイベントが生成されることはない」と説明している。

UNC3886とは?日本も標的に?

UNC3886は、日本を含むアジア太平洋地域や米国における防衛、政府、電気通信、テクノロジーといったセクターの組織に対するスパイ攻撃を行うことで知られるグループで、EDR性能を持たないファイアウォールや仮想プラットフォームに存在するゼロデイ脆弱性を好んで標的にしているとされる。

UNC3886は新しいものを含む多様なマルウェアやツールを保有しており、それらを標的とするプラットロームに合わせてカスタマイズして使用する。このことを踏まえれば、同グループが相当なリサーチ能力に加え、複雑な技術を理解できる並外れた能力を有していることが伺えるとMandiantは指摘している。

過去の攻撃ではゼロデイCVE-2022-41328を悪用してFortiGateを標的に

UNC3886は、2022年中盤に行われたキャンペーンにおいてFortiOSの脆弱性CVE-2022-41328を悪用し、FortiGateデバイスを侵害してバックドアCastletapとThincrustを展開していたことが明らかになっている。Fortinetは、この攻撃が標的をかなり絞って行われているものであり、政府や政府関連の標的を狙うものであることが示唆されていると述べていた。

CVSSスコアが低くても悪用され得る

脆弱性CVE-2023-20867はCVSSスコアが3.9と低い上、VMwareによる深刻度評価も「Low」だった。これは、悪用のためにはESXiサーバーへのrootアクセス権が必要だったため。しかし今回UNC3886の攻撃が発覚したことで、このような深刻度の低い脆弱性であっても高度な技術を持つアクターに悪用され得るという事実が改めて示されている。

(情報源:BleepingComputer ”Chinese hackers used VMware ESXi zero-day to backdoor VMs”、SecurityWeek ”Chinese Cyberspies Caught Exploiting VMware ESXi Zero-Day”、Dark Reading ”Chinese Threat Actor Abused ESXi Zero-Day to Pilfer Files From Guest VMs”、VMware ”VMSA-2023-0013”)

6月14日:その他の注目ニュース

BreachForumsがハッカーグループShynyHuntersの管理下で復活

HackRead – Jun 13 2023 13:26

BreachForumsがSinyHuntersの管理下で復活したことが、元フォーラム管理者の一人であるBaphometを通し確認された。

BreachForumsは以前、不正な活動を行うためのハブとして悪名高い存在であった。今回ShinyHuntersのもと復活したことで、サイバーセキュリティ・コミュニティに衝撃が走っている。また法執行機関やサイバーセキュリティの専門家は、このプラットフォーム上でのサイバー攻撃、データ侵害、違法行為が増加することを懸念している。旧BreachForumsやShinyHuntersの過去の活動も考慮すると、組織や個人は、セキュリティシステムを強化するために早急に対応する必要がある。セキュリティ対策を強化し、堅牢なプロトコルを導入することは、将来の攻撃を防止するための重要なステップとなる。

注意: 新型ローダーDoubleFingerがスティーラーを用いて暗号通貨ウォレットを標的に

The Hacker News – Jun 13 2023 15:31

DoubleFingerと呼ばれる新たなマルチステージローダーが、ヨーロッパ、米国、ラテンアメリカのユーザーを標的とした攻撃で、GreetingGhoulと呼ばれる暗号通貨スティーラーを配布することが確認されている。

GreetingGhoulの特筆すべき点は、Microsoft Edge WebView2を使用して、正規の暗号通貨ウォレットの上に偽のオーバーレイを作成しユーザーが入力した認証情報を吸い上げる点だ。

DoubleFingerは、GreetingGhoulの配布だけでなく、商用トロイの木馬であるRemcos RATを配布することも確認されている。なおRemcos RATは、ここ数か月で欧州やウクライナの団体を攻撃するために広範に使用されてきた。Kasperskyの研究者Sergey Lozhkin氏は、DoubleFingerを分析することにより、「高度な持続的脅威(APT)に類似した、犯罪ソフトウェア開発における高度な精巧さとスキルが明らかになった」と述べている。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ