ゼファーネットのロゴ

生成的データ インテリジェンス

サイバーセキュリティ

攻撃者は Microsoft のセキュリティを悪用し、ゼロデイ バグを回避します

プラトン再発行
プラトン再発行

日付:

閲覧数: 182

Microsoft が 71 月に予定している Patch Tuesday セキュリティ アップデートには、積極的な攻撃を受けている XNUMX つのゼロデイ セキュリティ脆弱性の修正に加え、同社の幅広い製品にわたる XNUMX 件のその他の欠陥が含まれています。

Microsoft が 66 月にパッチを発行した脆弱性のうち、合計 XNUMX 件が緊急、XNUMX 件が重要、XNUMX 件が中程度と評価されました。

  アップデートにはパッチが含まれます Microsoft Office、Windows、Microsoft Exchange Server、同社の Chromium ベースの Edge ブラウザ、Azure Active Directory、Microsoft Defender for Endpoint、Skype for business 用です。 Tenable は 30 の CVE のうち 73 を特定しました リモートコード実行 (RCE) の脆弱性として。 16 特権昇格を可能にする。 10 件はスプーフィングエラーに関連しています。 XNUMX つは分散型サービス拒否攻撃を可能にするものとして挙げられます。情報開示の欠陥として XNUMX つ。 XNUMX つはセキュリティ バイパスの問題です。

Hydra が金融トレーダーをターゲットにゼロデイを悪用

Water Hydra (別名 Dark Casino) と呼ばれる攻撃者は現在、ゼロデイ脆弱性の 1 つを悪用しています。 インターネット ショートカット ファイルのセキュリティ機能バイパスの脆弱性 として追跡 CVE-2024-21412 (CVSS 8.1) — 金融セクターの組織をターゲットとした悪意のあるキャンペーン。

トレンドマイクロの研究者は、この欠陥を発見してマイクロソフトに報告した数名のうちの一人ですが、この欠陥は以前にパッチが適用された SmartScreen の脆弱性のバイパスに関係していると説明しました (CVE-2023-36025、 CVSS 8.8) であり、サポートされているすべての Windows バージョンに影響します。 Water Hydra の攻撃者は CVE-2024-21412 を使用して金融トレーダーに属するシステムへの初期アクセスを取得し、そこに DarkMe リモート アクセス トロイの木馬を投下します。

この脆弱性を悪用するには、攻撃者はまず標的のユーザーに悪意のあるファイルを配布し、そのファイルを開かせる必要があると、Qualys の脆弱性研究担当マネージャー、サイード・アッバシ氏は電子メールでのコメントで述べた。 「この脆弱性の影響は深刻で、セキュリティが侵害され、SmartScreen などの保護メカニズムの信頼が損なわれます」とアッバシ氏は述べています。

SmartScreen バイパス ゼロデイ

Microsoft が今月のセキュリティ更新プログラムで明らかにしたもう 1 つのゼロデイは、Defender SmartScreen に影響を与えます。マイクロソフトによると、 CVE-2024-21351 これは、攻撃者が SmartScreen 保護をバイパスしてコードを挿入し、リモート コード実行機能を獲得できる可能性がある中程度の重大度のバグです。 Microsoftによれば、エクスプロイトが成功すると、限定的なデータ漏洩、システム可用性の問題、あるいはその両方が発生する可能性があるという。正確に誰がどのような目的でこのバグを悪用しているのかについての詳細は不明です。

Action1 の社長兼共同創設者である Mike Walters 氏は、Dark Reading 向けに準備したコメントの中で、この脆弱性は Microsoft の Mark of the Web (インターネットから信頼できないコンテンツを識別する機能) が SmartScreen 機能と相互作用する方法に関係していると述べました。 「この脆弱性については、攻撃者は悪意のあるファイルをユーザーに配布し、そのファイルを開くように誘導する必要があります。これにより、ユーザーは SmartScreen チェックを回避でき、システムのセキュリティが侵害される可能性があります」と Walters 氏は述べています。

優先度の高いバグ

2 月のアップデートに含まれる 5 つの重大な脆弱性のうち、優先的に注意が必要なものは次のとおりです。 CVE-2024-21410これは、Exchange Server の特権昇格の脆弱性であり、攻撃者のお気に入りのターゲットです。攻撃者はこのバグを利用して、対象ユーザーの Net-New Technology LAN Manager (NTLM) バージョン 2 ハッシュを公開し、その資格情報を影響を受ける Exchange Server に中継してユーザーとして認証する可能性があります。

Tenable のシニア スタッフ リサーチ エンジニアであるサトナム ナラン氏は、NTLM ハッシュなどの機密情報を漏らすこのような欠陥は、攻撃者にとって非常に価値のあるものになる可能性があると声明で述べています。同氏は、「ロシアを拠点とする攻撃者が同様の脆弱性を利用して攻撃を実行した。CVE-2023-23397は、2023年XNUMX月にパッチが適用されたMicrosoft Outlookの特権昇格の脆弱性である」と述べた。

トレンドマイクロによると、この欠陥を修正するには、Exchange管理者がExchange Server 2019 Cumulative Update 14(CU14)アップデートをインストールし、認証の拡張保護(EPA)機能が有効になっていることを確認する必要があるという。セキュリティベンダーは次のことを指摘しました。 Microsoftが公開した記事 脆弱性にパッチを当てる方法に関する追加情報が記載されています。

Microsoft は、CVE-2024-21410 に 9.1 段階中 10 の最大重大度評価を割り当てており、これは重大な脆弱性です。しかし、通常、特権昇格の脆弱性は CVSS 脆弱性評価スケールで比較的低いスコアになる傾向があり、それがもたらす脅威の本質を誤っていると Immersive Labs の脅威研究担当シニア ディレクターである Kev Breen 氏は述べています。 「スコアが低いにもかかわらず、(権限昇格)脆弱性は脅威アクターによって非常に人気があり、ほぼすべてのサイバーインシデントで使用されています」とブリーン氏は声明で述べた。 「攻撃者がソーシャル エンジニアリングやその他の攻撃を通じてユーザー アカウントにアクセスすると、次にその権限をローカル管理者またはドメイン管理者に昇格させようとします。」

Action1 の Walters が強調表示されます CVE-2024-21413、Microsoft Outlook の RCE 欠陥は、管理者が 9.8 月のバッチから優先する必要がある可能性のある脆弱性です。最大重大度スコアが XNUMX に近い重大度のこの欠陥には、攻撃の複雑さが低く、ユーザーの介入がなく、攻撃者が悪用するのに必要な特別な権限もありません。 「攻撃者は Outlook のプレビュー ウィンドウを介してこの脆弱性を悪用し、Office 保護ビューを回避し、より安全な保護モードではなく編集モードでファイルを強制的に開くことができます」と Walters 氏は述べています。

Microsoft 自身も、この脆弱性は攻撃者が攻撃する可能性が低いものであると特定しました。それにもかかわらず、ウォルターズ氏は、この脆弱性は組織にとって重大な脅威となるため、迅速な対応が必要であると述べた。

スポット画像

最新のインテリジェンス

スポット画像

著作権 @ 2024 Plato Technologies Inc.