Microsoft は、攻撃者が Windows SmartScreen セキュリティ機能を回避し、Magniber ランサムウェア攻撃でペイロードを配信するために使用するセキュリティの脆弱性を修正しました。
攻撃者は、悪意のあるスタンドアロン JavaScript ファイルを使用してCVE-2022-44698ゼロデイを悪用し、Windows によって表示される Mark-of-the-Web セキュリティ警告をバイパスして、インターネットから発信されたファイルは慎重に扱う必要があることをユーザーに警告しました。
「攻撃者は、Mark of the Web (MOTW) 防御を回避する悪意のあるファイルを作成することができます。その結果、MOTW タグ付けに依存する Microsoft Office の保護されたビューなどのセキュリティ機能の整合性と可用性が制限的に失われます」と Redmond 氏は説明しています。火曜日。
Microsoft によると、このセキュリティ上の欠陥は、次の 3 つの攻撃ベクトルを使用してのみ悪用される可能性があります。
- Web ベースの攻撃シナリオでは、攻撃者はセキュリティ機能のバイパスを悪用する悪意のある Web サイトをホストする可能性があります。
- 電子メールまたはインスタント メッセージの攻撃シナリオでは、攻撃者は標的のユーザーに特別に細工した .url ファイルを送信してバイパスを悪用する可能性があります。
- 侵害された Web サイト、またはユーザー提供のコンテンツを受け入れるかホストする Web サイトには、セキュリティ機能のバイパスを悪用するために特別に細工されたコンテンツが含まれている可能性があります。
ただし、これらすべてのシナリオで、攻撃者はターゲットをだまして悪意のあるファイルを開いたり、CVE-2022-44698 エクスプロイトを使用して攻撃者が制御する Web サイトにアクセスしたりする必要があります。
マイクロソフトは、10 月下旬から活発に悪用されているこのゼロデイ脆弱性の修正に取り組んだ後、2022 年 11 月の月例パッチ中にこのゼロデイに対処するためのセキュリティ更新プログラムをリリースしました。
ランサムウェア攻撃に悪用される
HP の脅威インテリジェンス チームは、ANALYGENCE の上級脆弱性アナリストである Will Dormann によって発見された不正な形式でデジタル署名されたstandalone.JS JavaScript ファイルを使用して、フィッシング攻撃がMagniber ランサムウェアを配布していたことを 10 月に最初に報告しました。
これにより、SmartCheck がエラーになり、悪意のあるファイルがセキュリティ警告をスローせずに実行され、MoTW フラグでタグ付けされていても Magniber ランサムウェアがインストールされる可能性があります。
.png)
先月、同じ Windows のゼロデイ脆弱性がフィッシング攻撃でも悪用され、MOTW セキュリティ警告を表示せずに Qbot マルウェアがドロップされました。
セキュリティ研究者の ProxyLife が発見したように、この最近の QBot フィッシング キャンペーンの背後にいる攻撃者は、Magniber ランサムウェア攻撃で使用されたのと同じ不正な形式のキーで署名された JS ファイルを配布することにより、ゼロデイで Windows Mark of the Web に切り替えました。
QBot (別名 Qakbot) は、その後のフィッシング攻撃で使用するためにメールを盗んだり、 Brute Ratel 、 Cobalt Strike 、 その他のマルウェアなどの追加のペイロードを配信したりするマルウェア ドロッパーに進化した Windows バンキング型トロイの木馬です。
Egregor 、 Prolock 、およびBlack Bastaランサムウェア オペレーションは、被害者の企業ネットワークへのアクセスを取得するために QBot と提携したことも知られています。
2022 年 11 月の月例パッチで、Microsoft は公開されたゼロデイ (CVE-2022-44710) も修正しました。これにより、攻撃者はパッチが適用されていない Windows 11 システムで SYSTEM 権限を取得できるようになります。
Comments