2月に修正されたWindowsカーネルのバグ、ゼロデイとして8月から悪用されていた(CVE-2024-21338) | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 2月に修正されたWindowsカーネルのバグ、ゼロデイとして8月から悪用されていた(CVE-2024-21338)

Threat Report

Silobreaker-CyberAlert

2月に修正されたWindowsカーネルのバグ、ゼロデイとして8月から悪用されていた(CVE-2024-21338)

佐々山 Tacos

佐々山 Tacos

2024.03.04

3月1~3日:サイバーセキュリティ関連ニュース

2月に修正されたWindowsカーネルのバグ、ゼロデイとして8月から悪用されていた(CVE-2024-21338)

BleepingComputer – March 2, 2024

先月の月例パッチにおいてWindowsカーネルの特権昇格の脆弱性CVE-2024-21338を修正したマイクロソフトだが、その6か月前の昨年8月には、同脆弱性がゼロデイとして悪用されているとの報告を受領していたという。

マイクロソフトがこの脆弱性を開示・修正したのは2月13日。この時点では悪用に言及していなかったものの、同社は同月の28日にアドバイザリを更新し、実際の攻撃で悪用されていることを認めた。なお、攻撃に関する詳細は明らかにしていない。

CVE-2024-21338は、Windows 10およびWindows 11(最新リリースを含む)の複数のバージョンのほか、Windows Server 2019や2022を実行しているシステムに影響を与えるもので、ローカルの攻撃者が悪用に成功すると、ユーザーによる操作を必要としない複雑性の低い攻撃でSYSTEM権限を獲得できる。

Avastは同じく28日に同社のブログで、北朝鮮ハッカーLazarusが遅くとも2023年8月からこの脆弱性をゼロデイとして悪用し、カーネルレベルのアクセス権を奪取してセキュリティツールを無効化していたことを報告していた。

PDFを介したマルウェア配布が急増

securityonline info – MARCH 1, 2024

マルウェアがPDFを介して配布されるケースが急激に増えていることについて、McAfee Labsが報告。PDFといえば世界の至る所で使われるファイル形式であり、その分人々も無意識に「安全」だと思い込みがちだが、サイバー犯罪者らはこの信頼度の高さを悪用するようになっているという。

感染チェーンはまず、有害なコードが埋め込まれたPDFファイル付きのEメールから始まる。このPDFは無害なものに見えるよう工夫されており、McAfee Labsが観測したケースでは、「Booking.com-1728394029.pdf」という、あたかもBooking.comから送られてきたかのようなファイル名が付けられていた。

標的が旧バージョンまたはパッチ未適用バージョンのAcrobat Readerを使用している場合、PDFは埋め込まれたJavaScriptを直接実行する。一方で最新バージョンのAcrobat Readerが使用されている場合、JavaScriptを直接実行するのは不可能なため、PDFファイルは標的を悪意あるWebサイトへリダイレクトし、そこからスクリプトをダウンロードさせるという。いずれのケースにおいても、その後PowerShellの実行を経てAgent Teslaなどのマルウェアがダウンロード・実行されることになる。上記の流れで投下されたAgent TeslaはC2サーバーとの通信を実施し、Telegramボットを介してセンシティブなデータを抽出するほか、スケジュールタスクを設定するなどして感染したシステム上での永続性を確立するという。

McAfee Labsの研究者は、感染チェーンの一連の流れが「この攻撃の高度さを浮き彫りにして」いると指摘。さらにこの高度さが「最初の感染からデータの抜き取り、持続的な侵入に至るまで続いており、検知と緩和の取り組みに大きな課題を投げかけている」と結論づけた上で、いくつかの緩和戦略とIoCを提供している

各国政府がIvanti VPNへの攻撃有無を調査するよう組織に要請(CVE-2023-46805、CVE-2024-21887他)

SecurityWeek – March 1, 2024

ファイブアイズの政府諸機関が共同声明の中で、Ivanti Connect SecureおよびIvanti Policy Secureゲートウェイについて注意喚起。最近開示/修正された脆弱性数件の影響を受けるこれらのVPNアプライアンスに保存されている認証情報は、侵害されている可能性が高いことを発表した。また組織に対し、侵害を受けていることを想定して、ネットワーク上で悪意のあるアクティビティがないかどうか探し始めるよう呼びかけている。

今回の共同声明はいくつかの脆弱性に言及しているが、このうちCVE-2023-46805(認証バイパスの脆弱性)、CVE-2024-21887(コマンドインジェクションの脆弱性)、CVE-2024-21893(SSRFの脆弱性)の3件が現在も悪用されているものとして注意喚起されている。

さらにIvantiの整合性チェックツール(ICT)の最新バージョンを実行することと、利用可能なパッチを適用することも推奨されており、Ivanti VPNの悪用に関連するIoCのリストや、検知に役立つ一連のYaraルール、インシデント対応およびリスク緩和策に関する推奨事項も提供されている。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ