Microsoft SharePointの重大なバグが悪用されるように:CISAが注意喚起(CVE-2023-29357)
(情報源:BleepingComputer – January 12, 2024)
米CISAは1月10日、Microsoft SharePointにおける重大な特権昇格の脆弱性CVE-2023-29357を「悪用が確認済みの脆弱性カタログ(KEVカタログ)」に追加し、悪用について注意喚起した。同脆弱性は2023年6月の月例セキュリティ更新プログラムで修正されたもので、パッチリリース時点では悪用は確認されていなかった。
別の脆弱性との連鎖によりRCEが可能に
CVE-2023-29357はCVSSスコアが最大9.8、マイクロソフトによる深刻度評価は「Critical(緊急)」と、リスクの高い脆弱性。同脆弱性により、リモートの攻撃者は偽装したJWT認証トークンを使って認証を回避し、管理者権限を取得できるようになる恐れがある。また、別の脆弱性CVE-2023-24955と連鎖させることでリモートコード実行をも可能にするという。なおCVE-2023-24955はSharePoint Serverにおけるリモートコード実行の脆弱性で、2023年5月の月例パッチにおいて修正されている。
複数のエクスプロイトが出回る
CVE-2023-29357は、2023年3月にハッキングコンテスト「Pwn2Own」でSTAR Labsの研究者により悪用が実演されたもので、この研究者はその後、9月25日に悪用プロセスを詳細に記した技術的な分析記事を公開。すると翌日には別の研究者によってPoCエクスプロイトもGitHub上にリリースされた。それ以降、これ以外のPoCエクスプロイトも複数ネット上に登場しており、悪用のハードルが下がってスキルの低い脅威アクターであっても攻撃に組み込めるようになっているという。
【SharePointのCriticalな脆弱性2件用いたRCEチェーン、PoCが公開: CVE-2023-29357, CVE-2023-24955】SharePointの特権昇格およびRCEの脆弱性を使った認証バイパス・コードインジェクションチェーンのPoCを研究者が公開: https://t.co/jp6qX90GZ0
※脆弱性はそれぞれ6月と5月のMS月例パッチで修正済み— Machina Record (@MachinaRecord) December 15, 2023
悪用の詳細は未開示
CISAはまだこの脆弱性がどのように、何者によって悪用されているのかといった詳細は開示していないが、今回KEVカタログに追加されたことを受け、米連邦政府には、1月31日までにパッチを適用することが義務付けられている。
1月12~15日: その他のサイバーセキュリティ関連ニュース
Ivantiゼロデイ攻撃のハッカーはパッチ展開に備えた準備を実施か マルウェアが示す(CVE-2023-46805、CVE-2024-21887)
SecurityWeek – January 12, 2024
最近悪用が発見されたIvanti Connect Secureのゼロデイ脆弱性CVE-2023-46805およびCVE-2024-21887に関連する新たな報道。両脆弱性の影響を受けるシステムは数千台存在し、またこれらを悪用している脅威アクターはパッチのリリースに備えて準備を整えていることがわかったという。
Rapid7は、攻撃に脆弱な恐れのあるインターネットに露出したインスタンスの件数は「7,000」を超えており、その大部分が米国、日本、ヨーロッパに存在すると報告している。またMandiantも、両脆弱性の悪用を伴うスパイ目的の攻撃について分析。攻撃の中で観測されたカスタムマルウェアThinSpool、LightWire、WireFire、WarpWire、ZipLineについて説明し、攻撃者がパッチリリース後にも侵害したシステムへのアクセスを維持できるようにするための準備をしていたと見られることなどを伝えた。
両脆弱性の悪用は遅くとも2023年12月から行われているとされる。Volexityは攻撃者が中国関連のアクターかもしれない旨を述べているが、Mandiantは中国に言及しておらず、正確なところは不明。
なお、パッチはまだリリースされておらず、1月22日の週に利用可能となる予定。それまでの間、組織にはIvantiの提供する緩和策を講じることが推奨されている。
CVE-2024-20656の内幕:PoCエクスプロイトがVisual Studioのセキュリティを脅かす
SecurityOnline.Info – January 14, 2024
今月の月例パッチで修正されたMicrosoft Visual Studioの脆弱性CVE-2024-20656に関する詳細とPoCエクスプロイトコードが公開され、同製品のセキュリティが脅かされているとの報道。CVE-2024-20656は特権昇格の脆弱性(CVSS 7.8)で、悪用に成功した攻撃者はSYSTEM権限を取得できるようになる可能性がある。
この脆弱性の発見者Filip Dragović氏は10日のブログ記事において脆弱性の詳細を提供。Dragović氏によると、CVE-2024-20656はVisual Studioにより診断目的で用いられるVSStandardCollectorService150サービスに存在する脆弱性で、悪用はVSStandardCollectorService150にファイルを書き込ませるダミーのディレクトリの作成に始まり、ジャンクションディレクトリの作成やシンボリックリンクの改竄といった一連の計算された小細工を経て行われるという。最終的には、重要なバイナリを乗っ取ったバージョンのものと置き換えることで、攻撃者はSYSTEMシェルを手にできるとされる。PoCはGithub上で利用可能となっている。
マイクロソフトはこの問題の重大性を認識し、2024年最初の月例パッチでこれを修正。しかしSecurity Online.Infoは、このような脆弱性がVisual Studioのような広範に利用されるIDEに存在するという事実は、ソフトウェアセキュリティに関して重要な疑問を投げかけるものだと指摘している。