Last Updated on 2024-07-11 08:39 by admin

マイクロソフトのゼロデイ脆弱性（CVE-2024-38112）が、少なくとも18ヶ月間にわたり攻撃者に悪用されていたことが明らかになった。

この脆弱性は、現在は使用されていないInternet Explorer（IE）のMSHTML（Trident）エンジンに影響を与えるが、新しいWindows 10およびWindows 11システムでも攻撃の対象となる。

セキュリティ研究者のHaifei Liによって発見され、マイクロソフトに報告された後、最近のセキュリティアップデートで修正された。

この脆弱性を悪用する攻撃では、攻撃者が特別に作成したインターネットショートカットファイルを被害者に送り、クリックするとIEを介して攻撃者が制御するURLを開く。

Check Pointの観察によると、攻撃者はこの脆弱性を利用し、危険なHTMLアプリケーションファイル（.htaファイル）をPDFドキュメントのように見せかけて隠す新たな手法を組み合わせている。

Check Pointの分析によると、少なくとも2つの異なる脅威アクターが、ベトナムとトルコの個人を対象にした情報窃取キャンペーンでこの脆弱性を悪用している。

一つのキャンペーンでは、攻撃者がAtlantida情報窃取マルウェアを被害者のマシンに投下しようとしている。このマルウェアは、クレデンシャル情報、暗号通貨ウォレットデータ、ブラウザデータなどを盗むことができる。

マイクロソフトはCVE-2024-38112をスプーフィング脆弱性として説明し、成功裏に悪用された場合、システムの機密性、完全性、可用性に高い影響を与える可能性があるとしている。

しかし、攻撃が成功するためには、被害者が武装化されたURLファイルとのやり取りを行う必要があるため、脆弱性の重大度は中程度の高さ（7.5/10）と評価されている。

米国サイバーセキュリティ・インフラストラクチャ・セキュリティ庁（CISA）は、CVE-2024-38112を既知の悪用された脆弱性（KEV）カタログに追加し、組織に対してマイクロソフトの脆弱性に対する緩和策を適用するよう促している。政府機関は7月30日までに問題を修正するか、問題が解決されるまで該当製品の使用を中止するよう指示されている。

【編集者注：CVEって何？って方はこちらをどうぞ】

セキュリティニュースでよく目にする「CVE:共通脆弱性識別子」について調べてみた🙋‍♂️✨

【編集者追記】用語解説

• MSHTML（Microsoft HTML）：
  Internet Explorerのレンダリングエンジンで、Windowsの一部として組み込まれています。他のアプリケーションでもWebコンテンツを表示する際に使用されることがあります。
• CVE（Common Vulnerabilities and Exposures）：
  公開された脆弱性に対して割り当てられる一意の識別番号です。セキュリティ専門家や開発者が特定の脆弱性について共通の参照ポイントを持つために使用されます。
• CVSS（Common Vulnerability Scoring System）：
  脆弱性の深刻度を数値化するための標準的な手法です。0から10までのスコアで表され、10に近いほど深刻度が高いことを示します。
• ゼロデイ脆弱性：
  ソフトウェアベンダーが修正パッチをリリースする前に、攻撃者によって悪用される脆弱性のことです。「ゼロデイ」とは、ベンダーが脆弱性を認識してから対策を講じるまでの時間が「0日」であることを意味します。

【関連記事】
サイバーセキュリティーニュースをinnovaTopiaでもっと読む

【ニュース解説】

マイクロソフトのゼロデイ脆弱性（CVE-2024-38112）が、18ヶ月以上にわたり攻撃者によって悪用されていたことが判明しました。この脆弱性は、現在は使用されていないInternet Explorer（IE）のMSHTML（Trident）エンジンに影響を及ぼし、新しいWindows 10およびWindows 11システムでも攻撃の対象となり得ます。セキュリティ研究者によって発見され、最近のセキュリティアップデートで修正されました。

攻撃者は、特別に作成されたインターネットショートカットファイルを通じて、IEを介して攻撃者が制御するURLを開かせる手法を用いています。さらに、PDFドキュメントのように見せかけた危険なHTMLアプリケーションファイル（.htaファイル）を隠す新たな手法も組み合わせて使用しています。

この脆弱性を悪用した攻撃は、ベトナムとトルコの個人を対象にした情報窃取キャンペーンで観察されており、少なくとも2つの異なる脅威アクターが関与していることが分かっています。攻撃者は、Atlantidaという情報窃取マルウェアを被害者のマシンに投下し、クレデンシャル情報や暗号通貨ウォレットデータなどを盗み出すことを目的としています。

マイクロソフトはこの脆弱性をスプーフィング脆弱性として説明しており、成功裏に悪用された場合、システムの機密性、完全性、可用性に高い影響を与える可能性があるとしています。しかし、攻撃が成功するためには、被害者が武装化されたURLファイルとのやり取りを行う必要があるため、脆弱性の重大度は中程度の高さと評価されています。

この事例は、古いソフトウェアコンポーネントが新しいシステムにおいてもセキュリティリスクを引き起こす可能性があることを示しています。また、攻撃者が複数の手法を組み合わせることで、セキュリティ対策を回避しようとする高度な戦術を使用していることが明らかになりました。組織や個人は、セキュリティアップデートを迅速に適用し、不審なファイルやリンクに注意を払うことが重要です。米国サイバーセキュリティ・インフラストラクチャ・セキュリティ庁（CISA）もCVE-2024-38112を既知の悪用された脆弱性（KEV）カタログに追加し、対策の適用を促しています。このような脆弱性の発見と修正は、サイバーセキュリティの持続的な取り組みの一環として、今後も続くことが予想されます。

from Attackers Have Been Leveraging Microsoft Zero-Day for 18 Months.