1月10日:サイバーセキュリティ関連ニュース
マイクロソフトが月例パッチで脆弱性49件に対処、Critical評価は2件:CVE-2024-20700、CVE-2024-20674
Security Affairs – January 09, 2024
マイクロソフトが新年初となる月例セキュリティ更新プログラムをリリースし、合計49件の脆弱性に対処。このうち、以下の2件は深刻度が「Critical(緊急)」と評価されている。
・CVE-2024-20700(CVSS 7.5):Windows Hyper-Vにおける、リモートコード実行の脆弱性。Critical分類ではあるものの、マイクロソフトはアドバイザリにおいて「この脆弱性の悪用を成功させるには、攻撃者は攻撃を行う前にまず制限付きネットワークに対するアクセス権を獲得する必要があります」と述べ、「悪用される可能性は低い」と評価している。
・CVE-2024-20674(CVSS 9.0):Windows Kerberosにおける、セキュリティ機能バイパスの脆弱性。認証されていない攻撃者による悪用が可能で、マイクロソフトは「悪用される可能性が高い」と評価。ただ、CVE-2024-20700と同様、攻撃者は攻撃を行う前にまず制限付きネットワークに対するアクセス権を獲得する必要がある。悪用は、中間者 (MITM) 攻撃または他のローカルネットワークスプーフィング手法を確立し、悪意のあるKerberosメッセージを標的のクライアントマシンに送信し、Kerberos認証サーバーになりすますことによって可能になるとされる。
トルコのハッカーが保護の不十分なMS SQLサーバーを悪用 米・EU・ラ米地域が標的に
The Hacker News – January 09, 2024
米国、EU、ラテンアメリカ地域における保護の不十分なMicrosoft SQL(MS SQL)サーバーを狙う金銭獲得目的のキャンペーン「RE#TURGENCE」について、Securonixの研究者が報告。トルコのハッカーが関与しているとみられる同キャンペーンの標的になると、最終的に侵害されたホストへの「アクセス」が売りに出されるか、ランサムウェア「Mimic」のペイロードが配布される恐れがあるという。
Mimicは、Securonixが昨年9月に報告した、同じくMS SQLサーバーを狙ったキャンペーン「DB#JAMMER」でも使用されていたランサムウェア。また侵害されたホスト上でのシェルコマンド実行のためにxp_cmdshell(サーバー構成オプション)が使われる点も、両キャンペーンに共通しているという。ただしTTPやインジケーターは完全に異なっているため、DB#JAMMERとRE#TURGENCEは2つの異なるキャンペーンである可能性が非常に高いとされる。
RE#TURGENCEキャンペーンにおいて、攻撃者はブルートフォース攻撃によりメインネットワークの外から直接サーバーへ侵入することに成功していることから、研究者は「重要なサーバーをインターネットに直接露出させることは常に控える」よう注意喚起している。
米SECのXアカウントが乗っ取られ、ビットコインに関する偽情報を拡散
The Record – January 10th, 2024
火曜夕方、米証券取引委員会(SEC)のX(旧Twitter)アカウント「@SECGov」が何者かに乗っ取られる事態が発生。乗っ取られたアカウントからは、ビットコインの上場投資信託(ETF)の国内証券取引所への上場を承認した、と伝えるツイートが投稿された。その後SECのゲンスラー委員長はアカウント「@SECGov」が侵害されて不正なツイートが投稿されたことを確認した上で、「SECは現物ビットコイン上場取引型金融商品の上場と取引を承認していない」と述べている。また偽のツイートは1時間以内に削除されたものの、それまでに100万人以上の人々に閲覧されており、この間ビットコインの価格は48,000ドル急騰したという。
著名なXアカウントが暗号資産関連の詐欺情報拡散のために乗っ取られるケースは今回が初めてではなく、先週にはGoogle参加のサイバーセキュリティ企業Mandiantのアカウントが乗っ取りに遭っていた。また過去にはカナダや英国の議員のXアカウントも同様の目的でハイジャックされており、ここ数か月でXのアカウント乗っ取り対策への懸念が高まっている。
なおSECは、今回のアカウント乗っ取りがどのように行われたのかを問いかける質問に対し、コメントを提供していないとのこと。
この情報へのアクセスはメンバーに限定されています。ログインしてください。メンバー登録は下記リンクをクリックしてください。