Windows SmartScreenの脆弱性を悪用した攻撃 その手口は?:セキュリティニュースアラート
FortinetはWindows SmartScreenの脆弱性「CVE-2024-21412」を取り上げ複数の脅威アクターが悪用していると報告した。各種アプリケーションが標的となっており従業員教育とプロアクティブなセキュリティ戦略が必要であると指摘している。
Fortinetは2024年7月23日(現地時間)、「FortiGuard Labs Threat Research」においてMicrosoft Defender SmartScreenのセキュリティバイパスに関する脆弱(ぜいじゃく)性「CVE-2024-21412」について取り上げた。
サイバーセキュリティ攻撃者がこの脆弱性を悪用してSmartScreenのセキュリティ警告ダイアログをバイパスし、悪意あるファイルを配信できるとされ、この1年間でWater Hydra、Lumma Stealer、Meduza Stealerといった複数の脅威アクターがこのセキュリティ脆弱性を悪用したことが明らかになったとしている。
多様なアプリケーションが狙われており、Fortinetは「未確認のソースからファイルをダウンロードすることの危険性について従業員を教育し、堅牢でプロアクティブなサイバーセキュリティ戦略を採用することが重要だ」と指摘している。
Windows SmartScreenの脆弱性とスティーラーキャンペーンの実態
FortiGuard Labsは、この脆弱性を悪用して悪意ある実行可能ファイルをダウンロードするスティーラーキャンペーンを観測したとして、その詳細を伝えた。
まず、脅威アクターはターゲットを誘導してLNKファイルをダウンロードするように細工されたリンクをクリックさせる。
次にLNKファイルはHTAスクリプトを含む実行可能ファイルをダウンロードする。実行されるとスクリプトがPowerShellのコードをデコードして復号し、最終的なURL、おとりのPDFファイル、悪意あるシェルコードインジェクターを取得する。
これらファイルは最終的にスティーラーを正当なプロセスに挿入して悪意あるアクティビティーを開始し、窃取したデータをコマンド&コントロール(C2)サーバに送信する。
このスティーラーキャンペーンにおいて、脅威アクターはセキュリティソフトウェアによる検出を回避する目的でさまざまなインジェクターを設計し、多種多様なPDFを使って北米やスペイン、タイといった特定の地域を標的としている。
Fortinetは今回観測したスティーラーが標的とする主なアプリケーションとして次を挙げている。
- Webブラウザー:Google Chrome、Google Chrome SxS、Google Chrome Beta、Google Chrome Dev、Google Chrome Unstable、Google Chrome Canary、Epic Privacy Browser、Vivaldi、360Browser Browser、CocCoc Browser、K-Melon、Orbitum、Torch、CentBrowser、Chromium、Chedot、Kometa、Uran、liebao、QIP Surf、Nichrome、Chromodo、Coowon、CatalinaGroup Citrio、uCozMedia Uran、Elements Browser、MapleStudio ChromePlus、Maxthon3、Amigo、Brave-Browser、Microsoft Edge、Opera Stable、Opera GX Stable、Opera Neon、Mozilla Firefox、BlackHawk、TorBro
- 暗号ウォレット:Bitcoin、Binance、Electrum、Electrum-LTC、Ethereum、Exodus、Anoncoin、BBQCoin、devcoin、digitalcoin、Florincoin、Franko、Freicoin、GoldCoin(GLD)、GInfinitecoin、IOCoin、Ixcoin、Litecoin、Megacoin、Mincoin、Namecoin、Primecoin、Terracoin、YACoin、Dogecoin、ElectronCash、MultiDoge、com.liberty.jaxx、atomic、Daedalus Mainnet、Coinomi、Ledger Live、Authy Desktop、Armory、DashCore、Zcash、Guarda、WalletWasabi、Monero
- メッセンジャー:Telegram、Pidgin、Signal、Tox、Psi、Psi+、WhatsApp.
- FTPアプリ: FileZilla、GoFTP、UltraFXP、NetDrive、FTP Now、DeluxeFTP、FTPGetter、Steed、Estsoft ALFTP、BitKinex、Notepad++ plugins NppFTP、FTPBox、INSoftware NovaFTP、BlazeFtp
- メールアプリ:Mailbird、eM Client、The Bat!、PMAIL、Opera Mail、yMail2、TrulyMail、Pocomail、Thunderbird
- VPN Service:NordVPN、AzireVPN
- パスワードマネージャ:Bitwarden、NordPass、1Password、RoboForm
- その他:AnyDesk、MySQL Workbench、GHISLER、Sticky Notes、Notezilla 、To-Do DeskList、snowflake-ssh、GmailNotifierPro
Fortinetはこうした脅威を軽減するために、未確認のソースからファイルをダウンロードして実行することの危険性について「従業員を教育する必要がある」と指摘している。
また、脅威アクターによる継続的なイノベーションには巧妙な攻撃ベクトルから保護するための堅牢でプロアクティブなサイバーセキュリティ戦略が必要であり、積極的な対策やユーザーの認識、厳格なセキュリティプロトコルなどが組織のデジタル資産を保護するための重要な要素になると説明している。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「Fortinet FortiSIEM」にCVSS v3.1スコア10の脆弱性 初期パッチで修正漏れ ただちに確認を
「Fortinet FortiSIEM」にCVSS v3.1のスコア10.0脆弱性が見つかった。初期の修正パッチは不十分で類似のセキュリティ脆弱性に対して対応できていなかったと指摘した。簡単に脆弱性を悪用できるため注意が必要だ。該当する製品を使用している場合には確認を行うことが望まれる。
「FortiOS」および「FortiProxy」のSSL-VPNトンネルモードに重大な脆弱性 急ぎ対処を
Fortinetは「FortiOS」および「FortiProxy」のSSL-VPNトンネルモードに脆弱性があることを報告した。これを悪用されるとIPアドレスを偽装してセキュリティ制御を回避する可能性がある。
Fortinetの脆弱性を放置している約15万台のサーバが見つかる
The Shadowserver Foundationはリモートコード実行可能な脆弱性を抱えたまま運用されているサーバの調査結果を発表した。放置されたままになっている脆弱性が明らかになった。
FortiOSに新たなセキュリティリスク CVSS v3スコア9.6で深刻度「Critical」
FortinetはFortiOSのセキュリティ脆弱性CVE-2024-21762を公表した。この脆弱性はsslvpndに存在し、CVSS v3で緊急度「Critical」スコア9.6と評価された。対象製品は幅広いバージョンに及び、未承認コード実行のリスクがある。