IEのゼロデイ脆弱性、北朝鮮の脅威アクターが悪用
Googleの脅威分析グループは北朝鮮のAPTグループによるInternet Explorerのゼロデイ脆弱性の悪用を確認した。
Googleは2022年12月7日(現地時間)、同社のブログで「Internet Explorer」(以下、IE)にゼロデイ脆弱(ぜいじゃく)性が存在すると伝えた。Googleの脅威分析グループが2022年10月下旬に発見した脆弱性で、CVE-2022-41128として特定されている。
北朝鮮が支援する「APT」(持続的標的型攻撃)グループのうち、「APT37」などと呼ばれるグループが今回見つかったゼロデイ脆弱性をすでに悪用している。APT37は韓国のユーザーや脱北者、政策立案者、ジャーナリスト、人権活動家などを標的にサイバー攻撃を実行している。
IEの脆弱性を悪用する攻撃手順とは?
CVE-2022-41128は、IEのJavaScriptエンジン「jscript9.dll」に存在する。これを利用すると、細工したHTMLコンテンツを用意することによってIEで任意のコードを実行できるようになる。具体的な攻撃手順は以下の通りだ。
- フィッシング詐欺メールのような何らかの方法で標的とするユーザーに「Microsoft Office」ドキュメントを配布する
- 配布したMicrosoft Officeドキュメントはリッチテキストファイル(RTF)リモートテンプレートをダウンロードする。さらにそのテンプレートがリモートのHTMLコンテンツを取得する
- Microsoft Officeは取得したHTMLコンテンツをIEでレンダリングする。ここで脆弱性が悪用される
Googleの脅威分析グループは、CVE-2022-41128を悪用した脅威アクターによる攻撃の最終的なペイロード(不正コード)を回収できなかったとしている。しかし同グループは以前から「ROKRAT」「BLUELIGHT」「DOLPHIN」などのマルウェアインプラントを配信していたことから、今回の攻撃も同様の手口を取るものとみられる。
CVE-2022-41128については、Microsoftの2022年11月のセキュリティ更新プログラムでパッチがリリースされている。同脆弱性は今後も悪用される可能性があるためIEユーザーは迅速にパッチを適用してほしい。
関連記事
- TeamsとAdobe Acrobatが統合 何ができるようになる?
MicrosoftはTeamsとAcrobatの統合を発表した。これまでの組み込みPDFビューアに代わってAcrobatをデフォルトのPDFビューアとして設定できる。 - ハイブリッドワーク時代の内部不正対策は“3つのポイント”を意識しよう
テレワークやハイブリッドワークが普及し、従業員に対して管理の目が行き届かなくなった結果、内部不正や情報漏えいのリスクが高まっている。ガートナーの矢野氏は3つのポイントで情報漏えいを防ぐ仕組み作りを語った。 - WordPressのプラグインにマルウェアが隠される 感染リスクを軽減する方法は?
SucuriはWordPressのプラグインにマルウェアを隠す方法を発見したと伝えた。サイバー攻撃者は、セキュリティソフトウェアや研究者による検出を回避するためにさまざまな攻撃手法を開発しており、今回の方法も巧妙に検出を回避するものだったとされている。 - ラックはいかにしてゼロトラスト基盤を改良したのか?――マイクロソフトブリーフィング
日本マイクロソフトはメディアブリーフィングで、2022年度におけるサイバー脅威の最新動向とラックのゼロトラスト基盤構築事例、日本マイクロソフトが考えるゼロトラストの次に来るセキュリティアプローチを公開した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.