10月11日:サイバーセキュリティ関連ニュース
マイクロソフト、月例パッチで悪用されるゼロデイ3件などに対処:CVE-2023-41763、CVE-2023-36563、CVE-2023-44487
BleepingComputer – October 10, 2023
マイクロソフトは10日、2023年10月の月例セキュリティ更新プログラムを公開し、実際に悪用されているゼロデイ脆弱性3件を含む104件の脆弱性に対処した。今回対処されたゼロデイ3件は以下の通り。
・CVE-2023-41763:Skype for Businessにおける特権昇格の脆弱性で、悪用に成功した攻撃者は一部の機微情報を閲覧できるようになる可能性がある。発見者であるFlorian Hauser氏によると、これは同氏が2022年9月に開示したものと同じ脆弱性で、当時マイクロソフトはその修正を拒否したのだという。CVSSスコアは5.3で、マイクロソフトによる深刻度評価は「Important(重要)」。
・CVE-2023-36563:Microsoft ワードパッドの情報漏洩の脆弱性で、ワードパッドでドキュメントを開いた際にNTLMハッシュを盗む目的で利用可能。ただ、悪用するためには攻撃者はまずシステムにログオンする必要があるほか、ローカルユーザーを説得して悪意あるファイルを開かせる必要もあるという。盗まれたNTLMハッシュは、アカウントへのアクセスのためにクラッキングされるか、NTLMリレー攻撃に使われる可能性がある。CVSSスコアは6.5で、マイクロソフトによる深刻度評価は「Important(重要)」。
・CVE-2023-44487:HTTP/2 Rapid Reset Attackという攻撃手法の中で用いられる脆弱性で、8月以降、史上最大規模のDDoS攻撃を実行するために悪用されている(詳しくは次のニュースへ)。マイクロソフトは、同脆弱性に対する緩和策をリリースしている。
このほか、今回修正されたものには最大深刻度の「Critical(緊急)」に分類されているRCEの脆弱性が12件含まれている。同社のアドバイザリはこちら。
HTTP/2のゼロデイ悪用した史上最大規模のDDoS攻撃:HTTP/2 Rapid Reset(CVE-2023-44487)
SecurityWeek – October 10, 2023
Cloudflare、Google、AWSは24日、「HTTP/2 Rapid Reset」と名付けられたインターネット史上最大のDDoS攻撃手法の詳細を明らかにした。攻撃者はHTTP/2プロトコルの脆弱性CVE-2023-44487を利用し、「リクエストを送信して即座にキャンセルする」ことを繰り返してHTTP/2の「ストリーム・キャンセル」と呼ばれる機能を悪用する。Cloudflareによれば、この「リクエスト、キャンセル、リクエスト、キャンセル…」というパターンを大規模に自動化することでサービス拒否状態を引き起こし、HTTP/2を実装しているあらゆるサーバーやアプリケーションをダウンさせることができるという。
HTTP/2 Rapid Resetを利用した攻撃の規模に関しては、Cloudflareが観測したものではピーク時が2億100万RPSと、今年2月時点で最高記録だった7,100万RPSの3倍で、Googleの観測したものではピーク時3億9,800万RPSだった。またAmazonは8月下旬の2日間に12回以上のHTTP/2 Rapid Reset攻撃を観測しており、最大の攻撃ではピーク時1億5,500万RPSが確認されたという。なおCloudflareは日常的に数十万台から数百万台のマシンで構成されるボットネットによる攻撃を観測しているが、HTTP/2 Rapid Reset手法によって同社の顧客を狙った攻撃は、わずか2万台のデバイスからなるボットネットを活用したものだったとされる。
上記3社は、自社の既存の対DDoS保護によりHTTP/2 Rapid Resetに対処することが大方可能だと述べつつも、追加の緩和策も実装済みだとした。またWebサーバーソフトウェア会社などが、脆弱性の悪用を防ぐパッチの開発に着手しているという。Googleは、「HTTP/2プロトコルを使用して通信できるサーバーやプロキシ上のWebアプリケーション、サービス、APIは脆弱である可能性がある」と指摘し、組織に対し、HTTP/2をサポートするサーバーが脆弱でないことを確認するか、CVE-2023-44487に対するベンダーのパッチを適用するべきだと伝えている。
ソーシャルメディアがイスラエル・ハマス間の戦闘めぐる偽情報を助長
The Record – October 11th, 2023
ハマス・イスラエル間の戦闘をめぐり、XやMeta、Telegramなどのソーシャルメディアプラットフォームで偽情報が多数飛び交っているという。例えば、ビデオゲームの映像が「ハマスの兵士がイスラエルのヘリコプターを撃ち落とす映像」として出回ったり、BBCやエルサレム・ポスト紙の「ジャーナリスト」を装う偽のXアカウントがフェイクニュースを垂れ流したり、アルジェリアで行われた花火の様子が「イスラエルの攻撃」として投稿されたりするのが観測されている。
またXに至っては、オーナーのマスク氏自身が偽情報を広める2つの有害アカウントを宣伝し、その投稿は数時間後にマスク氏によって削除されるまでに1,100万回も閲覧されたという。10日には、欧州委員会のティエリー・ブルトン委員がマスク氏に書簡を送り、Xが「違法なコンテンツや偽情報」を拡散していると警告。EUのデジタルサービス法(DSA)ではXのような大規模なオンラインプラットフォームに対し、不法コンテンツを削除し、それらが公衆に及ぼし得る影響に迅速に対処することを義務付けていることから、ブルトン委員はXのDSA遵守に関連する問題を追及すると述べている。
なお、偽情報はハマスを支持する側からも、イスラエル側からも発せられているとされる。ただ、米シンクタンク「大西洋評議会」のDigital Forensic Research Labの研究者であるSadek氏は、どちらの支持者がより多く偽情報を発しているかといったパターンを特定するにはまだ時期尚早だと述べた。また、スタンフォード大学の偽情報専門家であるHerb Lin氏からは、即応性のある偽情報部隊を持つロシアがハマス支持に回る可能性が高いことから、今後数週間でプロパガンダ戦が激化することが見込まれるとの見解も共有された。