SmartScreenにゼロデイ脆弱性 これを悪用した巧妙なサイバー攻撃も確認:セキュリティニュースアラート
Trend MicroはAPTグループ「Water Hydra」がMicrosoft Defender SmartScreenのゼロデイ脆弱性を悪用してサイバー攻撃を実行していると伝えた。脆弱性の詳細と攻撃者が使う巧妙な手口とは。
Trend Microは2024年2月13日(現地時間)、持続的標的型攻撃(APT)グループ「Water Hydra」(別名:DarkCasino)が有害サイト対策機能「Microsoft Defender SmartScreen」のゼロデイ脆弱(ぜいじゃく)性を利用してサイバー攻撃を実行していると伝えた。悪用されている脆弱性は「CVE-2024-21412」として特定されている。
Water Hydrは有害サイト対策機能「Microsoft Defender SmartScreen」のゼロデイ脆弱性を利用してサイバー攻撃を実行している(出典:Trend MicroのWebサイト)
SmartScreenにゼロデイ脆弱性 攻撃者が使う巧妙な手口
Water Hydraは2021年から観測されているAPTグループであり、全世界の銀行や仮想通貨プラットフォーム、外国為替プラットフォーム、株取引プラットフォーム、ギャンブルサイト、カジノサイトなどの金融業界を標的としている。2022年には投資家やギャンブルプラットフォームを標的とした「DarkCasino」キャンペーンにおいて「VisualBasic」で開発された遠隔操作ウイルス(RAT)「DarkMe」を使用したことが確認されている。
Trend Microは2023年12月の下旬ごろからWater Hydraが関与している今回のキャンペーンの追跡を開始している。このキャンペーンではインターネットショートカットファイル(.url)やWebベースの分散オーサリングおよびバージョニング(WebDAV)コンポーネントが悪用されている。
CVE-2024-21412はMicrosoft Defender SmartScreenにおいてインターネットショートカットファイルのチェックがバイパスできるという脆弱性だ。この脆弱性を悪用することでインターネットショートカットファイルからインターネットショートカットファイルを読み出すことでバイパスが可能になる。Water Hydraはインターネットショートカットファイルのアイコンを画像ファイルのアイコンに変更してユーザーに画像ファイルであるかのように誤認識させることでバイパスを成功させている。
ユーザーが画像ファイルに偽装したインターネットショートカットファイルを開くとリモートのインターネットショートカットファイルへのアクセスが発生する。このリモートのインターネットショートカットファイルはリモートのアーカイブに含まれる悪意あるコマンドが指定されており、Microsoft Defender SmartScreenの警告をバイパスして実行される。その結果としてマルウェアに感染し、侵害を受けることになる。
Microsoftは同日、「CVE-2024-21412 - Security Update Guide - Microsoft - Internet Shortcut Files Security Feature Bypass Vulnerability」においてセキュリティアップデートの情報を公開している。ユーザーは影響の有無を確認するとともに、必要に応じてアップデートを適用することが求められる。
関連記事
- ここだけは絶対守りたい データ侵害につながるクラウドの設定ミス“13選”
マルチクラウド/ハイブリッドクラウドの利用が進む昨今、脅威アクターはクラウドを狙った攻撃を実行するようになってきています。本稿はこれを防ぐために“13のクラウドの設定ミス”を解説します。 - LINEヤフーで再び情報漏えい 不正アクセスは一体どこから発生したのか?
LINEヤフーは自社やグループ会社の従業員情報が漏えいしたと発表した。同社は2023年11月27日にも同様の事案を公表していたが、今回の事案と直接は関係ないとしている。 - セキュリティを無効化するマルウェアが333%増加 防御回避は“常識”になっている
Picus Securityはセキュリティ機能を標的にしたマルウェアが333%増加し、「Hunter-killer」と呼ばれるセキュリティを無効化するマルウェアが顕著に増加したことを報告した。 - Azureを使う組織は要注意 管理職などを狙うアカウント乗っ取りキャンペーンが進行中
日本プルーフポイントはAzure環境のクラウドアカウント乗っ取りキャンペーンを新たに確認した。このキャンペーンはさまざまな組織が標的になっている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.