-
Analyst's Choice
2FA
Cyber Intelligence
EDR
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
ChatGPT
Cyber Intelligence
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
2月11〜12日:サイバーセキュリティ関連ニュース
マイクロソフト、2025年2月の月例パッチで悪用されるゼロデイ2件を修正(CVE-2025-21418、CVE-2025-21391)
Help Net Security – February 11, 2025
マイクロソフトが2025年2月の月例セキュリティ更新プログラムをリリースし、56件の脆弱性に対処。これには、実際の攻撃で悪用されているゼロデイ脆弱性CVE-2025-21418およびCVE-2025-21391が含まれるという。なお、いずれもすでに米CISAのKEVカタログ(悪用が確認済みの脆弱性カタログ)に追加されている。
<悪用されているゼロデイ>
- CVE-2025-21418:WinSock用Windows Ancillary Function Driver(AFD.sys)における特権昇格の脆弱性。攻撃者はこの脆弱性の悪用に成功すると、SYSTEM権限を取得することが可能になる。TenableのシニアリサーチエンジニアSatnam Narang氏によると、WinSock用Windows Ancillary Function Driverにおける特権昇格の脆弱性は2022年以降9件報告されており、うちゼロデイとして実際の攻撃で悪用されていたのはCVE-2024-38193の1件のみで、この攻撃には北朝鮮のAPTグループLazarus Groupが関与していたとの報告があるという。ただ、CVE-2025-21418の悪用の詳細はまだ明かされておらず、Lazarusが関与しているかどうかは現時点で不明。
- CVE-2025-21391:Windows Storageにおける特権昇格の脆弱性。さまざまなバージョンのWindowsおよびWindows ServerのStorageが影響を受ける。この悪用に成功した攻撃者はシステム上のファイルを削除できるようになるが、機密情報の開示が可能になるわけではない。しかし、例えば攻撃者がサービス運用に必須のデータ等を含むファイルを削除できた場合、サービスが利用不能になるなどの影響が考えられるという。どのような攻撃で何者がこの脆弱性を悪用しているかなどの詳細は明かされていない。
<その他の注目に値する脆弱性>
- CVE-2025-21194:Microsoft Surfaceにおけるセキュリティ機能バイパスの脆弱性。ハイパーバイザーの脆弱性で、悪用に成功した攻撃者はUEFIをバイパスしてハイパーバイザーおよびセキュアなカーネルを侵害できるようになる恐れがある。攻撃での悪用は報告されていないものの、公式修正プログラムが利用可能になる前から公に開示されていたためにマイクロソフトはこの脆弱性をゼロデイに分類している。
- CVE-2025-21377:NTLMハッシュ開示スプーフィングの脆弱性。ユーザーのNTLMハッシュが開示されることにより、リモートの攻撃者がユーザーになりすましてログインする可能性があるというもの。この脆弱性もCVE-2025-21194と同様の理由でゼロデイに分類されている。
- CVE-2025-21376:Windows Lightweight Directory Access Protocol(LDAP)におけるリモートコード実行の脆弱性で、マイクロソフトによる深刻度評価は「Critical(緊急)」。認証されていない攻撃者が特別に細工したリクエストをLDAPサーバーに送ると、この脆弱性を悪用できる可能性がある。悪用が成功するとバッファオーバーフローを生じさせることができ、これを利用してRCEを達成できる可能性がある。ゼロデイイニシアチブ(トレンドマイクロ)のDustin Childs氏は、悪用にユーザー操作を伴わないため、この脆弱性は影響を受けるLDAPサーバー間で「ワーマブル」になると指摘している。
Ivanti CSAに重大なリモートコード実行の脆弱性:CVE-2024-47908(CVSS 9.1)
Securityonline[.]info – February 11, 2025
Ivantiは11日、Cloud Services Appliance(CSA)における重大なリモートコード実行の脆弱性CVE-2024-47908に関するセキュリティアドバイザリをリリース。併せて深刻度が中程度の脆弱性CVE-2024-11771についてもアナウンスした。
CVE-2024-47908(CVSSスコア9.1)は、Ivanti CSAの管理者WebコンソールにおけるOSコマンドインジェクションの欠陥に起因する脆弱性。管理者権限を持つ認証されたリモートの攻撃者がこれを悪用することに成功した場合、脆弱なシステム上で任意のコードを実行することが可能になる。
CVE-2024-11771(CVSSスコア5.3)はパストラバーサルに起因する脆弱性。認証されていないリモートの攻撃者がこれを悪用することに成功した場合、アクセスが制限されている機能へアクセスできるようになり、ひいては機微な情報を抜き取ることができる可能性がある。
これらの脆弱性はCSAのバージョン5.0.5で修正済み。現時点でIvantiは悪用の試みを認識していないものの、すべての顧客に対してシステムを直ちにアップデートするよう呼びかけている。
