SmartScreenにゼロデイ脆弱性 これを悪用した巧妙なサイバー攻撃も確認：セキュリティニュースアラート

Trend MicroはAPTグループ「Water Hydra」がMicrosoft Defender SmartScreenのゼロデイ脆弱性を悪用してサイバー攻撃を実行していると伝えた。脆弱性の詳細と攻撃者が使う巧妙な手口とは。

[後藤大地，有限会社オングス]

　Trend Microは2024年2月13日（現地時間）、持続的標的型攻撃（APT）グループ「Water Hydra」（別名：DarkCasino）が有害サイト対策機能「Microsoft Defender SmartScreen」のゼロデイ脆弱（ぜいじゃく）性を利用してサイバー攻撃を実行していると伝えた。悪用されている脆弱性は「CVE-2024-21412」として特定されている。

Water Hydrは有害サイト対策機能「Microsoft Defender SmartScreen」のゼロデイ脆弱性を利用してサイバー攻撃を実行している（出典：Trend MicroのWebサイト）

SmartScreenにゼロデイ脆弱性　攻撃者が使う巧妙な手口

　Water Hydraは2021年から観測されているAPTグループであり、全世界の銀行や仮想通貨プラットフォーム、外国為替プラットフォーム、株取引プラットフォーム、ギャンブルサイト、カジノサイトなどの金融業界を標的としている。2022年には投資家やギャンブルプラットフォームを標的とした「DarkCasino」キャンペーンにおいて「VisualBasic」で開発された遠隔操作ウイルス（RAT）「DarkMe」を使用したことが確認されている。

　Trend Microは2023年12月の下旬ごろからWater Hydraが関与している今回のキャンペーンの追跡を開始している。このキャンペーンではインターネットショートカットファイル（.url）やWebベースの分散オーサリングおよびバージョニング（WebDAV）コンポーネントが悪用されている。

　CVE-2024-21412はMicrosoft Defender SmartScreenにおいてインターネットショートカットファイルのチェックがバイパスできるという脆弱性だ。この脆弱性を悪用することでインターネットショートカットファイルからインターネットショートカットファイルを読み出すことでバイパスが可能になる。Water Hydraはインターネットショートカットファイルのアイコンを画像ファイルのアイコンに変更してユーザーに画像ファイルであるかのように誤認識させることでバイパスを成功させている。

　ユーザーが画像ファイルに偽装したインターネットショートカットファイルを開くとリモートのインターネットショートカットファイルへのアクセスが発生する。このリモートのインターネットショートカットファイルはリモートのアーカイブに含まれる悪意あるコマンドが指定されており、Microsoft Defender SmartScreenの警告をバイパスして実行される。その結果としてマルウェアに感染し、侵害を受けることになる。

　Microsoftは同日、「CVE-2024-21412 - Security Update Guide - Microsoft - Internet Shortcut Files Security Feature Bypass Vulnerability」においてセキュリティアップデートの情報を公開している。ユーザーは影響の有無を確認するとともに、必要に応じてアップデートを適用することが求められる。