マイクロソフト、月例パッチで悪用されているゼロデイ含む脆弱性71件に対処(CVE-2024-49138ほか)
Help Net Security – December 10, 2024
マイクロソフトは2024年12月の月例セキュリティ更新プログラムにおいて、71件の脆弱性に対処。これには、攻撃で悪用されているゼロデイCVE-2024-49138が含まれる。
悪用されているゼロデイ:CLFSドライバーの特権昇格
CVE-2024-49138は、Windows 共通ログファイル システム(CLFS)ドライバーにおける特権昇格の脆弱性。CLFSドライバーにおけるヒープベースのバッファオーバーフローに起因するもので、攻撃者による悪用が成功した場合、ターゲットホスト上でのSYSTEM権限取得が可能になる恐れがあるとされる。CVSS 3.1のスコアは7.8で、マイクロソフトによる深刻度評価は「Important(重要)」。
ランサムウェア攻撃で利用されている可能性も
この脆弱性がどのような攻撃で悪用されているのかなどの詳細は現時点で明かされていないが、Tenable社のシニアリサーチエンジニアであるSatnam Narang氏は、過去に悪用されていたCLFSドライバーの脆弱性を踏まえ、特に特権昇格の脆弱性がここ数年でランサムウェアオペレーターが好んで悪用してきた点を強調。今回のCVE-2024-49138についてもランサムウェア攻撃で悪用されている可能性があることを示唆した。またトレンドマイクロのZero Day Initiativeで脅威アウェアネス部門のヘッドを務めるDustin Childs氏も、「これは特権昇格の脆弱性であるため、システム乗っ取りのためにコード実行のバグと合わせて利用されている可能性が高い」と指摘。その上で、「こうした戦術はランサムウェア攻撃や標的型フィッシングキャンペーンでよく見受けられる」と述べている。
その他の注目すべき脆弱性
また、今回の月例パッチで修正されたその他の脆弱性の中でも、特に緊急の対応が必要と思われるのが以下の3件だという。
- CVE-2024-49112(CVSS 3.1スコア 9.8、Critical/緊急):Windows Lightweight Directory Access Protocol(LDAP)におけるリモートコード実行の脆弱性。認証されていないリモートの攻撃者によって、特別に細工された一連のLDAPコールを用いて悪用される恐れがあり、悪用が成功すると、LDAPサービスのコンテクスト内で任意のコードを実行できるようになるという。
- CVE-2024-49114(CVSS 3.1スコア 7.8、Important/重要):Windows Cloud Files Mini Filterにおける特権昇格の脆弱性。同期の欠如に起因するもので、攻撃者に悪用された場合、SYSTEM権限の取得が可能になる恐れがある。攻撃での悪用はまだ観測されていないが、マイクロソフトはこの脆弱性の悪用可能性を「More Likely」と評価していることから、早急な対応が求められる。
- CVE-2024-49093(CVSS 3.1スコア 8.8、Important/重要):Resilient File System(ReFS)における特権昇格の脆弱性。この脆弱性を悪用するには攻撃者はまずシステムへログオンする必要があるが、悪用が成功すればSYSTEM権限の取得が可能になるとされる。この脆弱性についても、悪用可能性は「More Likely」と評価されている。
【無料配布中!】ランサムウェアレポート&インテリジェンス要件定義ガイド
ランサムウェアレポート:『2024 Ransomware? What Ransomware?』
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価