Windowsの管理者からカーネルへのエクスプロイトが6ヶ月間修正されなかった。Avastの研究者がMicrosoftに重大な脆弱性を報告したが、修正には6ヶ月かかり、この間にLazarus Groupによって悪用され、FudModuleルートキットがインストールされた。Microsoftは問題の深刻さを考慮せず、修正を優先しなかった。さらに、修正パッチを発行する際に、脆弱性が悪用されていることを開示しなかった。

AppleのiOSおよびiPadOSのバージョン17.4および16.7.6には重大な脆弱性が存在し、キーボードのスプーフィングや特権エスカレーションなどの問題が含まれる。いくつかの脆弱性は既に悪用されている。

米国国家安全保障局とサイバーセキュリティ・インフラストラクチャ庁がクラウドセキュリティのリスクを軽減するための10のヒントを共有した。これには、クラウド環境での適切なアイデンティティとアクセス管理、ログ管理、アクセスキーの適切な管理などが含まれる。クラウドを効果的かつ安全に利用するためには、適切な実装が必要である。

ホワイトハウス国家安全保障会議、Linux Foundation Training and Certification、Open Source Security Foundation、Cloud Native Computing Foundationが協力して、ジョーダンの女性がサイバーセキュリティの職業に参加するためのトレーニングプログラムを提供している。250人のジョーダンの女性が100以上の無料のセキュリティコースと25以上の認定資格を受けることができる。このプログラムは、ジョーダンの女性の労働力参加率が低い状況を改善し、女性の職業参加を促進することを目指している。

【ニュース解説】

昨年、セキュリティ研究者たちは、WindowsのAppLockerに関連するドライバーに存在する管理者からカーネルへのエクスプロイトを発見し、Microsoftに報告しました。この脆弱性は、ユーザースペースからカーネルと通信する際に利用されるappid.sysの入出力制御ディスパッチャーに存在し、攻撃者がカーネルに任意の関数を呼び出させることが可能でした。しかし、Microsoftはこの問題の修正を6ヶ月間先延ばしにし、その間に北朝鮮のハッカーグループであるLazarus Groupによって悪用され、FudModuleルートキットがインストールされる事態に至りました。

一方、AppleのiOSおよびiPadOSにも重大な脆弱性が存在し、キーボードのスプーフィングや特権エスカレーションなど、複数の問題が発見されました。これらの脆弱性の中には、既に悪用されているものもあり、ユーザーにとっては大きなセキュリティリスクとなっています。

クラウドコンピューティングのセキュリティに関しては、米国国家安全保障局とサイバーセキュリティ・インフラストラクチャ庁がリスク軽減のための10のヒントを共有しました。これには、アイデンティティとアクセス管理の適切な実践、ログの管理、アクセスキーの適切な管理などが含まれ、クラウドを効果的かつ安全に利用するための基本的なアドバイスが提供されています。

また、ホワイトハウス国家安全保障会議、Linux Foundation Training and Certification、Open Source Security Foundation、Cloud Native Computing Foundationが協力して、ジョーダンの女性がサイバーセキュリティの職業に参加するためのトレーニングプログラムを提供しています。このプログラムは、ジョーダンの女性の労働力参加率を向上させ、より多様で包括的な労働力を育成することを目指しています。

これらのニュースは、セキュリティの脆弱性がいかに迅速に対処されるべきか、そして教育とトレーニングがいかに重要であるかを示しています。特に、管理者からカーネルへのエクスプロイトのような深刻な脆弱性は、攻撃者にシステムの根幹を揺るがす能力を与えるため、迅速な対応が求められます。また、クラウドコンピューティングの普及に伴い、そのセキュリティ対策の重要性も高まっており、適切な知識と技術が必要とされています。さらに、ジョーダンの女性へのトレーニングプログラムのような取り組みは、サイバーセキュリティ分野における多様性と包括性を促進し、より広範な人材の確保に貢献することが期待されます。

from Microsoft waited 6 months to patch actively exploited admin-to-kernel vulnerability.