-
Analyst's Choice
2FA
Cyber Intelligence
EDR
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
ChatGPT
Cyber Intelligence
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
Windowsサーバーの「WinReg」に対する新たなNTLMリレー攻撃、PoCエクスプロイトが公開される(CVE-2024-43532)
BleepingComputer – October 22, 2024
マイクロソフトのリモートレジストリクライアントにおける脆弱性のPoCエクスプロイトコードが公開された。この欠陥を悪用すると、認証プロセスのセキュリティを低下させることでWindowsドメインの制御が可能になるという。
CVE-2024-43532として追跡されているこの脆弱性は、SMBトランスポートが存在しない場合に利用されるWindowsレジストリ(WinReg)クライアントのフォールバックメカニズムに関連するもの。具体的には、同クライアントによるRPC認証の処理方法における問題に起因する。SMBトランスポートが利用不能な場合のフォールバックシナリオにおいて、このクライアントはTCP/IPなどの古いトランスポートプロトコルへ移行し、弱い認証レベルを用いるようになる。これにより、接続の真正性または完全性が検証されなくなるという。攻撃者はこの問題を悪用することで、NTLM認証をActive Directory証明書サービス(ADCS)にリレーし、さらなるドメイン認証に使うユーザー証明書を取得できるようになる。影響を受けるのはWindows Server 2008〜2012の全バージョンに加え、Windows 10および11と発表された。
この欠陥はAkamaiの研究者Stiv Kupchik氏が発見し、今年の2月1日にマイクロソフトへ開示していたものの、同社は「ドキュメントの問題」として4月25日にこれを却下。Kupchik氏が改良を加えたPoCに説明を添えて6月中旬にレポートを再提出すると、マイクロソフトは7月8日にこの脆弱性を確認し、その3か月後に修正プログラムをリリースした。PoCはAkamaiのGitHubページで公開されているほか、同社のブログ記事では脆弱性や悪用プロセスの詳細が解説されている。
ランサムウェアレポート無料配布中!
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠
関連投稿
マイクロソフト、11月の月例パッチで悪用されているゼロデイ2件などに対処(CVE-2024-43451、CVE-2024-49039)
13.11.2024
Windowsカーネルにおける権限昇格の脆弱性、PoCエクスプロイトが公開される(CVE-2024-30088)
27.06.2024
CVE-2024-38100のエクスプロイト「Leaked Wallpaper」:Windowsユーザーに特権昇格攻撃の危険性
06.08.2024
マイクロソフト、10月の月例パッチでゼロデイ5件含む118件の脆弱性に対処(CVE-2024-43573、CVE-2024-43572他)
09.10.2024
Windowsカーネルの脆弱性、SYSTEM権限取得のために悪用される:CVE-2024-35250
17.12.2024
