CISA

CISAは、APTハッキング・グループVoid Bansheeによって悪用された、最近パッチが適用されたWindowsのMSHTMLスプーフィング・ゼロデイ・バグに対して、米連邦政府機関にシステムの安全を確保するよう命じた。

この脆弱性(CVE-2024-43461)は、今月のパッチ・チューズデーで公開され、マイクロソフトは当初、攻撃には悪用されないと分類していた。しかし、マイクロソフトは金曜日にアドバイザリを更新し、修正される前に攻撃で悪用されたことを確認した。

マイクロソフトは、攻撃者がCVE-2024-43461を、CVE-2024-38112(別のMSHTMLスプーフィングバグ)と悪用チェーンの一部として、2024年7月以前に悪用していたことを明らかにした。

「私たちは、2024年7月のセキュリティ更新プログラムでCVE-2024-38112の修正をリリースし、この攻撃チェーンを断ち切りました。「顧客は、2024年7月と2024年9月のセキュリティアップデートの両方を行い、完全に保護する必要があります。

このセキュリティ欠陥を報告したトレンドマイクロのZDI(Zero Day Initiative)脅威研究者であるPeter Girnus氏は、Void Bansheeのハッカーがゼロデイ攻撃でこの脆弱性を悪用し、情報を盗むマルウェアをインストールしたと語った

この脆弱性は、悪意を持って細工されたウェブページにアクセスさせたり、悪意のあるファイルを開かせたりすることで、リモートの攻撃者がパッチの適用されていないWindowsシステム上で任意のコードを実行することを可能にする。

「ZDIの勧告では、「特定の欠陥は、ファイルがダウンロードされた後にInternet Explorerがユーザーにプロンプトを表示する方法に存在する。「細工されたファイル名により、本当のファイル拡張子が隠され、ユーザーはそのファイルタイプが無害であると誤解する可能性があります。攻撃者は、この脆弱性を利用して、現在のユーザーのコンテキストでコードを実行することができます。”

彼らは、CVE-2024-43461のエクスプロイトを使用して、PDFドキュメントにカモフラージュされた悪意のあるHTAファイルを配信しました。拡張子.htaを隠すために、彼らはエンコードされた26個の点字空白文字(%E2%A0%80)を使用しました。

Braile whitespace characters pushing HTA extension out of view
PDF文書に偽装されたHTAファイル(トレンドマイクロ)

チェック・ポイント・リサーチとトレンドマイクロが7月に明らかにしたように、これらの攻撃で展開されるAtlantida情報窃取マルウェアは、感染したデバイスからパスワード、認証クッキー、暗号通貨ウォレットを窃取するのに役立ちます。

Void Bansheeは、トレンドマイクロが最初に特定したAPTハッキンググループで、北米、ヨーロッパ、東南アジアの組織を標的に金銭的利益とデータの窃取を目的としていることで知られています。

連邦政府機関に3週間のパッチ適用猶予

本日、CISA はMSHTML スプーフィング脆弱性を Known Exploited Vulnerabilities catalog に追加し、積極的に悪用されているものとしてタグ付けし、Binding Operational Directive (BOD) 22-01 で義務付けられている通り、連邦政府機関に対し、10月7日までに3週間以内に脆弱性のあるシステムを保護するよう命じた。

「この種の脆弱性は、悪意のあるサイバー・アクターにとって頻繁な攻撃ベクトルであり、連邦政府企業に重大なリスクをもたらす」とサイバーセキュリティ機関は述べている。

CISAのKEVカタログは、連邦政府機関に対し、早急にパッチを適用すべきセキュリティ上の欠陥について警告することに主眼を置いているが、世界中の民間組織に対しても、進行中の攻撃を阻止するため、この脆弱性の緩和を優先するよう勧告している。

マイクロソフトは、9月2024日のパッチ・チューズデーで、活発に悪用されている他の3つのゼロデイにパッチを当てた。これにはCVE-2024-38217が含まれ、少なくとも2018年以降、スマートアプリコントロールとMark of the Web(MotW)セキュリティ機能をバイパスするLNKストンプ攻撃で悪用されている脆弱性である。