Exchangeの脆弱性CVE-2024-21410はゼロデイとして悪用されていた、マイクロソフトが公表

2月15日： サイバーセキュリティ関連ニュース

Exchangeの脆弱性CVE-2024-21410はゼロデイとして悪用されていた、マイクロソフトが公表

BleepingComputer – February 14, 2024

マイクロソフトは14日、前日に公開したCVE-2024-21410に関するセキュリティアドバイザリを更新し、同脆弱性がゼロデイとして悪用されていたことを新たに明かした。CVE-2024-21410はMicrosoft Exchange Serverにおける特権昇格の脆弱性で、CVSSスコアは9.8、深刻度は「緊急（Critical）」の評価。認証されていないリモートの攻撃者がこれを悪用すると、Exchange Serverを狙ったNTLMリレー攻撃の中で特権を昇格させられてしまう恐れがあるという。

この脆弱性は、今月リリースの月例パッチのMicrosoft Exchange Server 2019 Cumulative Update 14（CU14/累積更新プログラム）で対処されている。このアップデートではサービスでの認証の拡張保護（EPA）が有効化され、認証リレー攻撃や中間者攻撃を緩和することによりWindows Serverの認証機能が強化されているが、マイクロソフトは14日、今月のCU14をインストールするとそれ以降はEPAがデフォルトで自動的に有効化されることについてもアナウンスした。

ZoomがWindows版ソフトウェアの重大な欠陥CVE-2024-24691を修正

Security Affairs – February 14, 2024

Zoomが、同社のデスクトップおよびモバイルアプリケーションに存在する7つの脆弱性を修正した。修正された脆弱性には、Windows版ソフトウェアに影響を及ぼす重大な欠陥CVE-2024-24691（CVSS 9.6）も含まれる。

CVE-2024-24691は不適切な入力検証のバグ。これにより、認証されていないユーザーがネットワークアクセス経由で特権昇格を行えるようになる可能性がある。

この脆弱性の影響を受ける製品は以下の通り。

• Windows版 Zoom デスクトップ クライアント（バージョン5.16.5より前）
• Windows版 Zoom VDI クライアント（バージョン5.16.10より前、5.14.14および5.15.12を除く）
• Windows版 Zoom Rooms クライアント（バージョン5.17.0より前）
• Windows版 Zoom Meeting SDK（バージョン5.16.5より前）

なお、今回修正された脆弱性の中に実際の攻撃で悪用されているものがあるかどうかはわかっていない。

同社は、できるだけ早くアプリケーションを最新バージョンにアップデートするようユーザーに推奨している。

プルデンシャル・ファイナンシャル、脅威アクターにITシステム内へ侵入されたことを報告

The Register – Wed 14 Feb 2024

大手生命保険会社のプルデンシャル・ファイナンシャルは12日、サイバー犯罪グループに同社システム内への侵入を許し、社内記録と顧客記録の一部が漏洩したことを米証券取引委員会（SEC）に報告した。一部システム内の企業用管理データおよびユーザーデータと、従業員および請負事業者に紐づく少数の企業内ユーザーアカウントが不正なアクセスを受けたのだという。

SECに提出した臨時報告書Form 8-Kで、同社は「外部専門家の支援を受け、このインシデントを調査、抑え込み、復旧するためのサイバーセキュリティインシデント対応プロセスを直ちに発動した」と報告。依然として調査が続いているものの、「現時点で顧客またはクライアントのデータが盗まれた証拠は確認されていない。本件については関連する法執行機関へ報告するとともに、規制当局への通知も行っている」と付け加えた。

フォーチュン・グローバル500およびフォーチュン500に名を連ねるプルデンシャル社は5,000万人以上の顧客を抱え、2023年9月30日までの9か月間で204億4,500万ドルを売り上げたとされる世界的大企業。同社のような保険会社を標的にする脅威アクターは、社会保障番号や金銭関連情報、住所、生年月日、さらに医療データなど顧客の個人情報へのアクセスを狙っている。