Windows TCP/IPのゼロクリックRCE、GitHubで出回る偽PoCエクスプロイトに注意を:CVE-2024-38063
Securityonline[.]info – August 18, 2024
Windowsシステムに影響を与える重大な脆弱性、CVE-2024-38063。これに対する偽のPoCエクスプロイトコードがGitHubで複数出回っていることについて、セキュリティ研究者らが警告を発している。これらのエクスプロイトはただ偽物であるというだけでなく、マルウェア配布の手段として使われ得る有害なものだという。
CVE-2024-38063は、Windows TCP/IPスタックにおけるゼロクリックRCEの脆弱性。認証されていない遠隔の攻撃者が悪用することで任意のコードが実行できるようになる恐れがあるとされ、悪用の難易度も低いとされている。その重大性ゆえ、サイバーセキュリティコミュニティからも大きな関心が集まっている。
しかしこの注目度の高さが、悪意あるアクターたちに利用されているという。GitHubなどのプラットフォーム上では、同脆弱性に対するPoCエクスプロイトコードと謳われているものが複数アップロードされているが、EclecticIQのアナリストであるBüyükkaya氏はこれらが偽物であり、マルウェアを拡散させるためのものであることを確認している。
こうした偽PoCの作成・拡散には、中国で開発されたスクリーンショットアプリ「Snipaste」が使われているという。Securityonline[.]infoはVirusTotalにアップされたサンプルについて、中国を出所とするキャンペーンの一構成要素である可能性があると述べている。
CVE-2024-38063の悪用から、また偽のPoCエクスプロイトから自組織を守るため、ユーザーには以下のアクションを早急に講じることが推奨される:
- 最新のパッチの適用:同脆弱性は8月のマイクロソフト月例セキュリティ更新プログラムで修正されている。
- IPv6の無効化:パッチをすぐに適用できない場合は、IPv6を無効化してアタックサーフェスを最小化することが推奨される。
- GitHub利用時は注意深く:認証されていないソースからアップされたPoCエクスプロイトコードには注意を払い、実行前にコードの真正性を確かめるようにする。