WinRARに深刻度の高いRCEの脆弱性:CVE-2023-40477 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > WinRARに深刻度の高いRCEの脆弱性:CVE-2023-40477

Threat Report

Silobreaker-CyberAlert

WinRARに深刻度の高いRCEの脆弱性:CVE-2023-40477

佐々山 Tacos

佐々山 Tacos

2023.08.21

WinRARに深刻度の高いRCEの脆弱性:CVE-2023-40477

人気のWindows向けファイル圧縮・解凍ユーティリティであるWinRARに深刻度の高い脆弱性CVE-2023-40477が存在。遠隔の攻撃者は、特別に細工されたRARアーカイブをユーザーに開かせることでこの脆弱性を悪用し、任意のコードを実行できるようになるという。

脆弱性CVE-2023-40477(CVSSスコア:7.8)

この脆弱性は、リカバリーボリュームの処理に存在し、ユーザーが指定したデータが適切に検証されないことにより生じるもの。悪用にはユーザーインタラクションが必要で、攻撃者は標的となるユーザーに悪意あるページを訪問させるか、悪意あるファイルを開かせなければならないという。

ただし、Bleeping Computerは、ユーザーを騙して上記のような悪用に必要な行動を取らせるのはそれほど難しいことではないこと、またWinRARの利用者数は多大であることから、攻撃者がこの脆弱性の悪用に成功するためのチャンスは豊富に存在するとしている。

WinRAR利用者は速やかにアップデートを

CVE-2023-40477は6月8日にWinRARのベンダーであるRARLABへと報告され、8月2日の「WinRAR 6.23」のリリースにより修正されている。利用者には、脅威アクターらが同脆弱性の悪用を開始する前にアップデートを適用することが推奨される。

 

(情報源:Zero Day Initiative ”RARLAB WinRAR Recovery Volume Improper Validation of Array Index Remote Code Execution Vulnerability”、Security Affairs “WinRAR flaw enables remote code execution of arbitrary code”、Bleeping Computer “WinRAR flaw lets hackers run programs when you open RAR archives”)

8月19~21日:その他の注目ニュース

Cubaランサムウェア、Veeamの脆弱性を悪用し米国の重要インフラ組織を標的に:CVE-2023-27532

Bleeping Computer – August 20, 2023

Cubaランサムウェアグループは新旧さまざまなツールを利用して米国やラテンアメリカの重要インフラ組織を標的にしているが、BlackBerryは6月初頭、Veeam Backup & Replicationの脆弱性CVE-2023-27532に対するエクスプロイトもツールの1つとして使用するようになっていることも新たに観測したという。CVE-2023-27532の悪用により、攻撃者は被害者のデバイス上のコンフィギュレーションファイル内にあるクレデンシャルにアクセスできるようになる可能性がある。なおCVE-2023-27532は今年3月に開示・修正された脆弱性で、同じく3月以降エクスプロイトも一般に利用可能な状態となっており、ロシアのサイバー犯罪グループFIN7による悪用が報告されていた。

関連記事:FIN7のハッカーら、最近のVeeamにおける脆弱性を悪用しているのを発見される(CVE-2023-27532)

BlackBerryによれば、Cubaが用いる技術やツールには上記のエクスプロイト以外にも、BYOVDや「BurntCigar」(カーネルプロセスを終了させるツール)、NetLogonプロトコルの脆弱性「Zerologon」(CVE-2020-1472)に対するエクスプロイト、Cobalt Strikeビーコン、LOLBinsなどがあるという。

今回のBlackBerryの調査結果からは、Cubaが重要インフラなどの重要組織を引き続き標的にしていることが示唆されている。なおBlackBerryは以前より、Cubaは金銭的動機を持つサイバー犯罪グループではなくおそらくロシア配下のグループだろうと指摘している。

関連記事:CubaランサムウェアとRomCom RATの正体はロシア政府関連のハッカーグループ:研究者が主張

北朝鮮との関連疑われるハッカーが、米韓演習を標的に

Security Week – August 20, 2023

韓国の京畿南部警察庁は日曜日(20日)、北朝鮮のグループ「Kimsuky」に関連すると思われるハッカーが、米韓合同演習の戦闘シミュレーション・センターで働く韓国の請負業者に対し、「継続的な悪意のあるメール攻撃」を行ったと発表した。同庁の声明によると、同庁と米軍による合同捜査の結果、今回の攻撃で使われたIPアドレスは、2014年に韓国の原子炉運営会社に対するハッキングで特定されたものと一致したという。また、軍事関連の情報は盗まれなかったとのこと。

Kimsukyは2012年から活動していると見られるグループで、韓国、日本、米国の個人と組織をターゲットとして、メールに悪意のある添付ファイルを埋め込んで送信する「スピアフィッシング」の手口を使い、被害者から必要な情報を抜き取っている。また米CISAによると、北朝鮮政権からグローバルな情報収集の任務を課せられている可能性が高く、特に朝鮮半島、核政策、制裁に関連する外交政策と国家安全保障問題まわりの情報収集に焦点を当てているという。

なお韓国とアメリカは、核武装した北朝鮮の脅威の高まりに対抗するため、毎年恒例の「ウルチ・フリーダム・シールド」訓練を8月21日から31日まで開始する予定。北朝鮮は、このような演習を侵略のリハーサルとみなしており、それに対して「圧倒的な」行動をとると繰り返し警告している。

ハッカーらがVPNプロバイダーのコード証明書をマルウェアの署名に使用

Bleeping Computer – August 19, 2023

「Bronze Starlight」として知られる中国関連のAPTグループが、Ivacy VPNのプロバイダーが使用する有効な証明書を使って署名されたマルウェアを用いて、東南アジアのギャンブル業界を標的にしているのが目撃された。

このキャンペーンを分析したSentinelLabsによると、同証明書はVPN製品「Ivacy VPN」のシンガポールのベンダーであるPMG PTE LTDのものだという。また同キャンペーンは、東南アジアのギャンブル業界を狙った2021年10月から続くキャンペーン「Operation ChattyGoblin」の一環である可能性が高い。しかし SentinelLabsによれば、中国の脅威アクターらは共通して同一のツールを使用しているケースが多いため、今回のキャンペーンを特定のクラスターと関連付けることは困難とのこと。

また同社はPMG PTE LTDの署名キーが、ある時点で盗まれた可能性が高いという仮説も立てており、これは既知の中国の脅威アクターらがマルウェアへの署名を可能にするために用いるお馴染みの手法だとしている。またもし証明書が盗まれたのであれば、同脅威アクターがPMG PTE LTDのその他の重要データ(機微なユーザーデータや通信データなど)にアクセスした可能性も懸念される。

PMG PTE LTDはこの情報開示に対して公式な声明を出していないため、ハッカーが証明書にアクセスした正確な手法は不明のまま。

WoofLockerツールキットが有害コードを画像に隠す 技術サポート詐欺の実行狙い

The Hacker News – Aug 19, 2023

サイバーセキュリティ研究者らが、技術サポート詐欺を実行するために設計された「WoofLocker」(別名404Browlock)と呼ばれる高度なフィンガープリンティングおよびリダイレクトツールキットのアップデート版について詳述した。WoofLockerは、2020年1月にMalwarebytesによって初めて文書化された巧妙なトラフィックリダイレクトスキームで、攻撃者は侵害されたウェブサイトに埋め込まれたJavaScriptを活用してボット対策とWebトラフィックフィルタリングチェックを実行し、ユーザーをブラウザロッカー(blowlockとも呼ばれるツールで、虚偽のPCの問題をでっち上げ、標的となった被害者にその問題を解決するための支援を要請させてPCを遠隔操作し、その「技術的サポート」に対する代金を支払うよう被害者に勧める内容の請求書を作成することを目的とする)へリダイレクトさせる。この際に用いられるJavaScriptコードは、ステガノグラフィ技術によってPNG画像内に隠されている。

Malwarebytesの脅威インテリジェンスディレクターであるJérôme Segura氏によると、アップデート版の戦術やテクニックは以前のものと非常によく似ているものの、将来起こり得るテイクダウンの試みを打ち負かすためのインフラは以前よりも強固になっているという。また特に、仮想マシンや特定のブラウザ拡張機能、セキュリティツールの存在を検出するための新しいフィンガープリンティング・チェックを考慮すると、リダイレクトの仕組みを再現し研究することは2020年当時と同様に現在でも困難だという。同サイバーセキュリティ企業の最新の分析によると、このキャンペーンはまだ継続中であるという。なお、WoofLockerの背後の脅威アクターの正確な身元はまだ不明。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ