積極的に悪用されたMicrosoftのゼロデイ欠陥にはまだパッチがありません

mturhanlar | ゲッティイメージズ

研究者たちは先週末、Microsoftのサポート診断ツールの欠陥が悪意のあるWord文書を使用して悪用され、ターゲットデバイスをリモートで制御する可能性があると警告しました。 マイクロソフトは月曜日に、一時的な防衛策を含むガイダンスを発表した。 火曜日までに、米国のサイバーセキュリティおよびインフラストラクチャセキュリティエージェンシーは、「リモートの認証されていない攻撃者がこの脆弱性を悪用する可能性がある」と警告しました。 しかし、Microsoftは、この欠陥が実際の攻撃者によって積極的に悪用されていることを認めていたとしても、この脆弱性に対するパッチがいつ提供されるか、または提供されるかどうかについては明らかにしませんでした。 また、WIREDからの問い合わせでは、パッチの可能性についてはまだコメントがありませんでした。

WindowsサポートツールのFollinaの脆弱性は、特別に細工されたWord文書によって簡単に悪用される可能性があります。 ルアーには、悪意のあるHTMLファイルを取得し、最終的に攻撃者がWindows内でPowershellコマンドを実行できるようにするリモートテンプレートが装備されています。 研究者は、バグを「ゼロデイ」またはこれまで知られていなかった脆弱性として説明すると述べていますが、Microsoftはそれをそのように分類していません。

「エクスプロイトに関する一般の知識が高まった後、さまざまな攻撃者からの即時の応答が見られ始めました」と、セキュリティ会社SentinelOneの上級脅威研究者であるTomHegelは述べています。 彼は、これまで攻撃者が悪意のあるドキュメントを介して欠陥を悪用することが主に観察されたが、研究者はネットワークトラフィックのHTMLコンテンツの操作を含む他の方法も発見したと付け加えた。

「悪意のあるドキュメントのアプローチは非常に懸念されていますが、エクスプロイトをトリガーできるドキュメント化されていない方法は、パッチが適用されるまで問題があります」とヘーゲル氏は言います。 「私は、オプションが利用可能である場合、日和見的で標的型の脅威アクターがこの脆弱性をさまざまな方法で使用することを期待します。それは簡単すぎます。」

この脆弱性は、サポートされているすべてのバージョンのWindowsに存在し、Microsoft Office 365、Office 2013〜2019、Office 2021、およびOfficeProPlusを介して悪用される可能性があります。 マイクロソフトが提案する主な緩和策には、サポート診断ツール内の特定のプロトコルを無効にし、MicrosoftDefenderAntivirusを使用して悪用を監視およびブロックすることが含まれます。

しかし、インシデントレスポンダーは、脆弱性の悪用がいかに簡単で、悪意のあるアクティビティがどれだけ検出されているかを考えると、より多くのアクションが必要であると述べています。

「さまざまなAPTアクターが、フォリーナの脆弱性を利用するより長い感染チェーンにこの手法を組み込んでいます」と、中国政府が支援するハッカーに焦点を当てているセキュリティ会社Proofpointのスタッフ脅威研究者であるMichaelRaggiは述べています。 2022年5月30日、中国のAPTアクターTA413が中央チベット政権になりすました電子メールで悪意のあるURLを送信するのを観察しました。 既存のツールキットと展開された戦術に応じて、さまざまなアクターが感染チェーンのさまざまな段階でFollina関連のファイルをスロットに入れています。」

研究者も 見た 悪意のあるドキュメント エクスプロイト ロシア、インド、フィリピン、ベラルーシ、ネパールをターゲットとするフォッリーナ。 学部の研究者は2020年8月にこの欠陥に最初に気づきましたが、4月21日にMicrosoftに最初に報告されました。 Microsoftが抑制に取り組んできたドキュメント機能。

「Proofpointは、フィッシングキャンペーンにFollinaの脆弱性を組み込んださまざまな攻撃者を特定しました」と、Proofpointの脅威調査担当副社長であるSherrodDeGrippoは述べています。

このような現実の搾取のすべてで、問題は、マイクロソフトがこれまでに公開したガイダンスが適切であり、リスクに比例しているかどうかです。

「セキュリティチームは、マイクロソフトのさりげないアプローチを、これが「単なる別の脆弱性」であるという兆候と見なすことができますが、間違いなくそうではありません」と、セキュリティ会社Scytheのサイバー脅威インテリジェンスのディレクターであるジェイクウィリアムズは述べています。 「Microsoftがこの脆弱性を軽視し続けている理由は明らかではありません。特に、実際に悪用されている場合はなおさらです。」

この物語はもともとwired.comに登場しました。

Leave a Comment

Your email address will not be published.