北朝鮮、イラン、ロシア、中国の少なくとも11の国家に支援されたハッキンググループは、2017年以来、データ窃盗とサイバースパイゼロデイ攻撃で新しいWindowsの脆弱性を悪用している。
しかし、トレンドマイクロのゼロデイ・イニシアチブ(ZDI)のセキュリティ研究者ピーター・ギルナス氏とアリアクバル・ザハラビ氏が本日報告したように、マイクロソフトは9月下旬にこれを「バーの整備を満たしていない」とタグ付けし、これに対応するセキュリティ更新プログラムをリリースしないと述べた。
「ZDI-CAN-25373を悪用するシェルリンク(.lnk)サンプルを1000件近く発見したが、悪用試行の総数はもっと多い可能性がある。「その後、我々はTrend ZDIのバグ報奨金プログラムを通じて、概念実証のエクスプロイトをMicrosoftに提出したが、Microsoftはセキュリティパッチによるこの脆弱性への対処を拒否した。
マイクロソフトの広報担当者は、本日早朝に連絡を取ったが、すぐにコメントは得られなかった。
Microsoftはまだこの脆弱性にCVE-IDを割り当てていないが、トレンドマイクロは内部的にZDI-CAN-25373としてこの脆弱性を追跡しており、攻撃者は影響を受けるWindowsシステム上で任意のコードを実行することが可能であると述べている。
研究者がZDI-CAN-25373の悪用を調査中に発見したように、このセキュリティ上の欠陥は、Evil Corp、APT43 (Kimsuky)、Bitter、APT37、Mustang Panda、SideWinder、RedHotel、Konniなど、多くの国家的支援を受けた脅威グループやサイバー犯罪集団による広範な攻撃で悪用されています。
これらのキャンペーンは世界中の被害者を標的にしていますが、主に北米、南米、ヨーロッパ、東アジア、オーストラリアに集中しています。分析対象となった全攻撃のうち、70%近くがスパイ活動や情報窃取に関連しており、金銭的な利益に焦点を当てたものはわずか20%でした。
これらのキャンペーンでは、Ursnif、Gh0st RAT、Trickbotのような多様なマルウェアのペイロードやローダーが追跡されており、マルウェア・アズ・ア・サービス(MaaS)プラットフォームが脅威の状況を複雑にしている」とトレンドマイクロは付け加えています。
ZDI-CAN-25373 Windowsゼロデイ
この新たに発見されたWindowsの脆弱性(ZDI-CAN-25373として追跡されている)は、ユーザーインターフェイス(UI)の重要情報の虚偽表示(CWE-451)の弱点に起因するもので、攻撃者は、Windowsがショートカット(.lnk)ファイルを表示する方法を悪用して検出を回避し、脆弱なデバイス上でユーザーが気付かないうちにコードを実行することができます。
攻撃者は、COMMAND_LINE_ARGUMENTS 構造体に追加されたパディングされた空白を使用して、.LNK ショートカットファイル内に悪意のあるコマンドライン引数を隠すことで、ZDI-CAN-25373 を悪用します。
研究者によると、これらの空白文字は、パディングとして使用可能なスペース(◆x20)、水平タブ(◆x09)、ラインフィード(◆x0A)、垂直タブ(◆x0B)、フォームフィード(◆x0C)、キャリッジリターン(◆x0D)を表す16進数のコードである可能性があるとのことです。
Windowsユーザーがこのような.lnkファイルを検査すると、空白が追加されているため、悪意のある引数はWindowsユーザーインターフェースに表示されません。その結果、攻撃者によって追加されたコマンドライン引数は、ユーザーの視界から隠されたままになります。
「この脆弱性を悪用するには、攻撃対象が悪意のあるページにアクセスしたり、悪意のあるファイルを開いたりする必要があるため、ユーザーによる操作が必要です。
「.LNKファイル内のデータを細工することで、Windowsが提供するユーザーインターフェイスを介してファイルを検査するユーザーには、ファイル内の危険なコンテンツが見えなくなります。攻撃者はこの脆弱性を利用して、現在のユーザーのコンテキストでコードを実行することができる。”
この脆弱性は、CVE-2024-43461として追跡されている別の欠陥と類似しており、脅威行為者は、26個のエンコードされた点字空白文字(%E2%A0%80)を使用して、悪意のあるペイロードをPDFとしてダウンロードできるHTAファイルをカモフラージュすることができます。CVE-2024-43461は、トレンドマイクロのZero Dayのシニア脅威リサーチャーであるPeter Girnusによって発見され、9月2024日のパッチチューズデー中にマイクロソフトによってパッチが適用されました。
APT ハッキンググループVoid Bansheeは、ゼロデイ攻撃で CVE-2024-43461 を悪用し、北米、ヨーロッパ、東南アジアの組織に対するキャンペーンで情報窃取マルウェアを展開していました。
更新 3月18日13時46分(米国東部時間):マイクロソフト社の広報担当者は、公開後に以下の声明を発表し、同社は将来的にこの欠陥に対処することを検討していると述べた:
我々は、ZDIが協調的な脆弱性開示の下でこのレポートを提出したことに感謝している。Microsoft Defenderには、この脅威の活動を検出しブロックするための検出機能が備わっており、Smart App Controlは、インターネットからの悪意のあるファイルをブロックすることで、さらなる保護レイヤーを提供します。セキュリティのベストプラクティスとして、私たちは、潜在的に有害なファイルを認識し、ユーザーに警告するように設計されているセキュリティ警告に示されているように、不明なソースからファイルをダウンロードする際に注意することをお客様にお勧めします。報告書に記載されているUI体験は、当社の重大度分類ガイドラインに基づく即時対応のハードルには達していませんが、今後の機能リリースで対応することを検討します。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .
攻撃の93%を支えるMITRE ATT&CK©テクニック・トップ10
1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%を支えるMITRE ATT&CKテクニックのトップ10とその防御方法をご覧ください。
Comments