8月16〜19日:サイバーセキュリティ関連ニュース
米CISAが警告 SolarWindsの重大なRCEバグが攻撃で悪用される(CVE-2024-28986)
BleepingComputer – August 16, 2024
米CISAは15日、最近修正されたSolarWindsのカスタマーサポート用ソリューションWeb Help Desk(WHD)における重大な脆弱性をKEVカタログに追加。この欠陥が攻撃で悪用されていることを警告した上で、連邦政府各機関に対し、拘束力のある運用指令(BOD 22-01)に従って9月5日までにWHDサーバーにパッチを適用するよう義務付けた。
同脆弱性CVE-2024-28986(CVSSスコア:9.8)はJavaにおいて信頼できないデータをデシリアライズするもので、攻撃者にリモートコード実行を許す恐れがある。この欠陥の悪用に成功した脅威アクターは、ホストマシン上でコマンドを実行できるようになるという。
SolarWinds社はCISAが警告を発出する前に、この脆弱性に対するホットフィックス「WHD 12.8.3 Hotfix 1」をリリースしているが、悪用に関する情報は提供していなかった。同社は当該アドバイザリにおいて、SAMLシングルサインオン(SSO)を使用している場合はこれを適用しないよう呼びかけている。このSSOの問題に対処する新たなパッチはまもなく提供される模様。
同社はまた、ホットフィックスの適用および削除に関する詳細な手順を記載したサポート記事も公開しており、管理者に対し、ホットフィックスをインストールする前に脆弱性のあるサーバーをWeb Help Desk 12.8.3.1813にアップグレードするよう促している。
ゼロデイ脆弱性「Copy2Pwn」、Windowsの保護策を回避する目的で悪用される(CVE-2024-38213)
SecurityWeek – August 16, 2024
トレンドマイクロのゼロデイイニシアチブ(ZDI)は「Copy2Pwn」と名付けられたゼロデイ脆弱性CVE-2024-38213について詳述している。同脆弱性は、サイバー犯罪者によってWindowsのMark-of-Web(MotW)をバイパスする目的で悪用されているという。ZDIの脅威ハンティングチームは、脅威アクター「Water Hydra(別名:DarkCasino)」によるDarkGateキャンペーンの一環で行われた攻撃の分析中に、この欠陥を発見した。
Copy2PwnはWindowsのセキュリティ機能をバイパスする脆弱性で、WebDAV共有のファイルをコピー、またはペーストする際の処理方法に関係している。WebDAVはファイルのオーサリング、共有、バージョン管理などが行えるHTTPの拡張機能。ユーザーは、WebブラウザまたはWindowsエクスプローラーからアクセス可能なWebDAV共有にファイルをホストすることができる。
WindowsユーザーがWebからファイルをダウンロードすると、そのファイルにはMotWが割り当てられ、ファイルを開く前に追加のセキュリティチェック(Microsoft Defender SmartScreenやMicrosoft Officeの保護されたビューなど)が行われるが、サイバー犯罪者らはWebDAV共有からコピー&ペーストされたファイルにはMotWが適用されないことに気づいたとみられる。
なお、この脆弱性は今月のマイクロソフト月例セキュリティ更新プログラムで修正されている。