-
Analyst's Choice
2FA
Cyber Intelligence
EDR
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
ChatGPT
Cyber Intelligence
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
マイクロソフト、悪用されているゼロデイ2件含む脆弱性59件を修正:CVE-2023-36802、CVE-2023-36761
マイクロソフトは12日、月例のセキュリティ更新プログラムをリリースして脆弱性59件に対処した。このうちMicrosoft Stream Services サービスの脆弱性CVE-2023-36802およびMicrosoft Wordの脆弱性CVE-2023-36761は、すでに悪用が確認されているという。
悪用が確認されているゼロデイ2件
2023年9月の月例パッチで修正された脆弱性のうち、以下2件の脆弱性は実際の攻撃で悪用されていることが確認済みだという。いずれも米CISAの「悪用が確認済みの脆弱性カタログ」に追加されており、米連邦政府機関には10月3日までのパッチ適用が指示されている。
・CVE-2023-36802(CVSS 7.8):Microsoft Stream Services サービスにおけるプロキシの特権の昇格の脆弱性で、悪用した攻撃者にSYSTEM権限の取得を許す恐れがある。マイクロソフトはこのゼロデイの深刻度評価を「重要(Important)」レベルに留めているが、The Register紙は、特権昇格にユーザーインタラクションは不要だとする専門家の指摘を踏まえ、可及的速やかな対応を推奨している。
・CVE-2023-36761(CVSS 6.2):Microsoft Wordにおける情報漏洩の脆弱性で、ドキュメントが開かれた際に(プレビューペインで表示された場合も含む)、NTLMハッシュの開示を可能にする恐れがある。これによりNTLMハッシュが盗まれれば、他人のネットワークアカウントを乗っ取るのに利用される可能性があるという。この脆弱性については、エクスプロイトコードが出回っていると言われている。マイクロソフトによる深刻度の評価は「重要(Important)」。
その他の重大な脆弱性(CVE-2023-38148、CVE-2023-29332ほか)
マイクロソフトは、今回対処された脆弱性59件のうち、5件の深刻度を最高レベルの「Critical(緊急)」と評価している。4件はRCE、1件は特権昇格の脆弱性。
・CVE-2023-38148(CVSS 8.8):インターネット接続共有(ICS)におけるリモートコード実行の脆弱性。
・CVE-2023-29332(CVSS 7.5):Microsoft Azure Kubernetes Serviceにおける特権昇格の脆弱性。
・CVE-2023-36792、CVE-2023-36793、CVE-2023-36796(いずれもCVSS 7.8):Visual Studioにおけるリモートコード実行の脆弱性。
(情報源:The Register “Grab those updates: Microsoft flings out fixes for already-exploited bugs”、BleepingComputer “Microsoft September 2023 Patch Tuesday fixes 2 zero-days, 59 flaws”)
9月13日:その他の注目ニュース
アドビ、攻撃で悪用されるAcrobatとReaderの重大なゼロデイについて警告:CVE-2023-26369
BleepingComputer – September 12, 2023
アドビは12日にセキュリティアップデートを公開し、Windows / Mac向けのAdobe AcrobatおよびReaderにおけるゼロデイ脆弱性CVE-2023-26369(CVSS: 7.8)に対処した。同ゼロデイは境界外書き込みの脆弱性と説明されており、悪用が成功すると任意コードの実行が可能になる恐れがあるという。アドビは、「Adobe AcrobatおよびReaderに対する限定的な数の攻撃においてCVE-2023-26369が悪用されていることを認識している」と述べているが、攻撃の詳細は明かされていない。同脆弱性の深刻度は「Critical」と評価されており、利用者には最新版への迅速なアップデートが推奨されている。影響を受ける製品とバージョンは以下の通り。
| 製品 | トラック | 影響を受けるバージョン | 最新バージョン |
| Acrobat DC | Continuous | 23.003.20284以前のバージョン | 23.006.20320 |
| Acrobat Reader DC | Continuous | 23.003.20284以前のバージョン | 23.006.20320 |
| Acrobat 2020 | Classic 2020 | ・Mac:20.005.30516以前のバージョン ・Windows:20.005.30514以前のバージョン | 20.005.30524 |
| Acrobat Reader 2020 | Classic 2020 | ・Mac:20.005.30516以前のバージョン ・Windows:20.005.30514以前のバージョン | 20.005.30524 |
中国との関連疑われるグループ「Redfly」がアジアの送電網を標的に
SecurityWeek – September 12, 2023
国家の重要インフラ組織のみを標的にしているとみられる新たなAPTアクター「Redfly」を、サイバーセキュリティ企業のSymantecが特定。同社が観測した攻撃においてRedflyは、リモートアクセス型トロイの木馬「ShadowPad」やツール「PackerLoader」などを使ってアジアの国(国名は未開示)の送電網を侵害し、今年2月から8月の6か月間にわたってシステム内に潜伏していたとされる。攻撃のタイムラインは以下の通り。
・2023年2月28日:標的ネットワークにおける1台のPC上でShadowPadが実行される。
・5月16日:疑わしいWindowsバッチファイルとPackerLoaderが実行される。また、あるドライバのパーミッションが改変される。
・5月17日:再びShadowPadが実行される。
・5月19日、26日:PackerLoaderと、攻撃者が自らインストールした正規アプリが実行され、悪意あるDLLがサイドロードされるなど不審なアクティビティが観測される。
・5月29日:リネームされたバージョンのProcDump(alg.exe)を使ってLSASSからクレデンシャルがダンプされる。
・5月31日:スケジュールされたタスクを使ってoleview.exeが実行される。この目的はおそらくサイドローディングおよびラテラルムーブメントを実行するため。
・7月27日:標的のマシンにキーロガー(winlogon.exe)がインストールされる。
・8月3日:リネームされたバージョンのProcDump(yara32.exe)を使って再びクレデンシャルのダンプが試行され、数分後、Windowsレジストリからのクレデンシャルのダンプも試行される。
同グループが用いるツールやインフラは、中国の支援する別のグループ「APT41」(別称Winnti)が過去に使用していたとされるツールやインフラと重複していることから、Redflyも中国関連のグループである可能性が考えられる。またSymantecのインテリジェンスアナリストによると、上記キャンペーンの動機はスパイ活動である可能性が有力とのこと。
