8月20日:サイバーセキュリティ関連ニュース
マイクロソフト、macOSアプリにおける複数の脆弱性を放置 潜在リスクを認識するも修正の予定なし(CVE-2024-42220、CVE-2024-42004他)
The Register – Mon 19 Aug 2024
Cisco Talosの発表によると、マイクロソフトのmacOSアプリに複数の脆弱性が存在し、ユーザーのデバイスで動画や音声が記録されたり、機微データへのアクセスを許したりするほか、キーロガーを仕込まれる、あるいは権限昇格攻撃を受ける可能性があることがわかった。これらの脆弱性は、macOSが備えるパーミッションモデルのバイパスを可能にするものだという。
以下8件の脆弱性はExcel、OneNote、Outlook、PowerPoint、Teams、Wordに存在しているが、マイクロソフトはこれらの問題をリスクの低いものと評価しており、修正する予定はないとTalosに伝えたとされる。一方で同社はその後、TeamsアプリとOneNoteをアップデートし、ライブラリインジェクションを可能にするエンタイトルメントを削除するという実質的な緩和措置を講じてもいる。ただしOfficeアプリへの措置は取られていないまま。
- CVE-2024-42220(Outlook)
- CVE-2024-42004(Teams – work or school)(メインアプリ)
- CVE-2024-39804(PowerPoint)
- CVE-2024-41159(OneNote)
- CVE-2024-43106(Excel)
- CVE-2024-41165(Word)
- CVE-2024-41145(Teams – work or school)(WebViewアプリヘルパーアプリ)
- CVE-2024-41138(Teams – work or school)(com.microsoft.teams2.modulehost.app)
アップルのセキュリティモデルはパーミッションベースのため、ユーザーによって許可された設定は手動で変更しない限り維持される。つまり、例えばすでに許可されたWordを攻撃者が悪用してWordのプロセスにコードを挿入すれば、保護されたリソースにアクセスできることを意味する。
Talosのシニアセキュリティリサーチエンジニアは、問題を抱える各アプリがいずれも強化されたランタイムによって保護されており、権限によるライブラリ検証も無効にしているため、有害なライブラリインジェクションに対する保護が事実上無効になっていると主張した。
Ivanti製vTMにおけるバグの悪用試行が観測される 専門家が注意喚起(CVE-2024-7593)
Security Affairs – August 19, 2024
非営利のセキュリティ組織Shadowserver Foundationの研究者により、Ivanti製Virtual Traffic Manager(vTM)における深刻な脆弱性の公開済み概念実証(PoC)に基づく悪用試行が1件観測された。
この脆弱性はCVE-2024-7593(CVSSスコア9.8)として追跡されており、ソフトウェアベースのトラフィック管理ソリューションであるvTMアプライアンスに影響を及ぼすもの。
攻撃者に悪用されると、認証がバイパスされる、あるいは不正な管理者アカウントを作成される危険性が明らかになっている。
Ivantiは今年3月と5月にパッチをリリースしており、情報開示の時点では実際の攻撃における悪用を確認していないものの、PoCが公開済みであることを認識した上で、パッチが適用された最新版へのアップグレードを呼びかけていた。同社は悪用リスクを抑えるため、プライベート/企業ネットワークを介してネットワーク内の管理インターフェイスへの管理者アクセスを制限することを奨励している。
Shadowserverの研究者は、8月17日の時点でネット上に公開されているvTMデバイスが31台のみであることを確認。その大半は米国(14台)にあり、さらに英国(5台)、バーレーン(3台)、カナダ(3台)、日本(2台)と続いている。