バグレポート、3月号へようこそ。先月は、歴史的な攻撃手法やバグが再び攻撃してくるなど、過去が垣間見えるような出来事がありました。また、それだけでは不十分であるかのように、Google PixelとWindows11のユーザーは、Acropalypseにさらされました。では、3 月のニュースになった脆弱性について振り返りましょう。
目次
CVE-2023-24033: Samsung Baseband
ベースバンドでの電話のハッキングはしばらく静かでしたが、その波紋は復活し、かつてないほど強くなっているようです。かつては世界中のiPhoneのキャリアロックされたSIMカードからの解放を求める人たちのためのツールでしたが、今ではAppleからの攻撃を受けて、この手法により、無数のデバイスが数日間Wi-Fi通話とVoLTE(Voice over LTE)をオフにするしかない状態になりました。今年3月、GoogleのProject Zeroは、Samsung SemiconductorのExynos Modemsに18のゼロディ脆弱性を発見したと報告しました。このうち4つの脆弱性は、攻撃者が被害者の電話番号を知るだけで、被害者のデバイス上でリモートでコードを実行することを可能にするものでした。
脆弱性は、Exynos Modemのベースバンドモデムチップセットによって、SDP(Session Description Protocol)モジュールのフォーマットタイプが不適切に検査されるために発生しました。CVE-2023-24033をはじめとする3つの重要な脆弱性の場合、これにより、インターネットから入ってベースバンドに向かう通信が、不適切なチェック処理を利用してリモートコード実行を行うことができました。
対象
「エッジ」という言葉はネットワークの世界ではよく使われる言葉ですが、ほとんどの人はエッジで生活することを避けようとします。(セキュリティに関して)エッジでの生活にはすべてのリスクがあり、この脆弱性が気になるかもしれません。Google Pixel 6や7、SamsungやVivoの携帯電話をお持ちの方は、これらのデバイスに脆弱なSamsung Semiconductorのチップが搭載されているため、これらの脆弱性の影響を受ける可能性が最も高くなります。しかし、iPhoneユーザーの皆さんも、このまま読み進めてください。なぜなら、影響を受けるチップは、小型の携帯端末の中にあるものに限らないからです。もしあなたが、Exynos Auto T5123チップセットを搭載した大型のモバイル機器(自動車として知られています)を運転しているのであれば、あなたも脆弱性を抱えています。
現時点では、これらの脆弱性が悪用されているという報告はありませんが、Project Zeroは、「これらの脆弱性が提供するアクセスレベルと、我々[Project Zero]が信頼できる運用上の悪用が可能と考えるスピードの組み合わせは非常に稀である」という理由から、4つの重要な脆弱性の詳細を意図的に隠しておきました。
対処法
いつものように、脆弱性から身を守る最善の方法は、脆弱性を修正するパッチ(複数可)をダウンロードすることです。今回、自社のデバイスが注目されたことで、Googleはいち早くPixel 6と7にパッチを適用することを確認しました。3月末までに、ほとんどの端末で脆弱性を修正するパッチが適用され、通常のソフトウェア・アップデート・プロセスでダウンロードできるようになりました。まだアップデートが提供されていないデバイスの方は、Wi-Fi通話とVoLTEをオフにすることで、お使いのデバイスが重大な脆弱性の標的になるのを防ぐことができます。
CVE-2023-21036: Google PixelとWindowsのSnipping Tool
ウィットに富んだサブタイトルとして、そのまま使用するのにふさわしいニックネームが脆弱性に付けられることはめったにありません。脆弱性を黙示録に例えるのは極端かもしれませんが、インターネット上の相当数の写真に影響を与える可能性がある脆弱性を他に何と呼べばいいでしょうか。この脆弱性は、Google Pixelのスクリーンショット編集機能に5年前から存在していましたが、Windows 11のスニッピングツールなど、他の場所でも出現しているようです。複数の編集ツールを通じてこの脆弱性が蔓延していると考えられるのは、原因が単純であるためです。リバースエンジニアに匹敵する取り組みで、最近CTFに参加したDavid Buchananはこの脆弱性の根本原因分析を行いました。Buchananは、ファイルの書き込みに使用されるAPIコールがデフォルトで切り詰められていないため、切り取られたファイルには元のファイルの一部が残っていることを発見しました。
対象
信頼できるコンポーネントから攻撃されるという今月のテーマに沿って、この脆弱性はすべての開発者への良い警告となります。画像切り抜きツールのオープンソース開発者であることで悩まされている場合には、「対処法」のセクションに注意を向けてください。
オープンソースのコードを保守する必要がないにもかかわらず、画像を切り抜くために上記の製品を使用したことがある場合は、気がかりになるでしょう。この脆弱性は、切り取った機密情報を復元するために使用することも可能です。これは、閲覧履歴や、クレジットカード情報が流出することまで、様々な可能性があります。
前回の脆弱性とは異なり、今回の脆弱性はGitHubで複数のPoCスクリプトが公開されており、Buchanan氏のブログ記事でも脆弱性とその悪用方法について詳細に説明されています。また、研究者グループは、Pixelのスクリーンショットから切り取られたデータを復元するために、誰でも利用できるWebサイトを作成し、どの程度のトラブルになるかを確認したい人のために、このWebサイトを公開しています。
対処法
Acropalypseが迫っているにもかかわらず、すべての希望が失われたわけではありません。お気に入りのソーシャルメディアにあるすべての写真を削除する代わりに、多くのAcropalypse検出、およびサニタイズツールの1つを使用して写真をきれいにすることができます。その時点で、写真を再アップロードして、数年前に「インターネットに投稿されたものは永遠に残る」と言った両親が間違っていたことを祈ることができるのです。
オープンソースの開発者の皆さん、喜んでください、肩の荷が下りるのを感じるでしょう。独自のコードベースでこの問題を解決するには、余分な荷物をすべて取り除く必要があるのです。感情的な荷物を取り除くのは難しいかもしれませんが、余分なバイトを取り除くのは、ファイルを上書きしたときに切り捨てるのと同じくらい簡単です。
CVE-2023-23397: Microsoft Outlook
会議の招待状を受け取るのが嫌になりませんか。CVE-2023-23397の話を聞いた後では、招待状を受け取ったときにうろたえる新たな理由ができるはずです。この脆弱性についてはすでに深く掘り下げていますが、ここでは、厄介な会議とは異なり、時間を節約するために簡単に概要を説明します。3月のパッチ・チューズデー以前に、Microsoftは、Outlook招待のカスタムリマインダーサウンドを攻撃者が管理するサーバーを指すUNCパスに設定するだけで、ハッキング時にハッカーが自分のボスミュージックを追加できるようにしてしまったようです。被害者のOutlookクライアントがリマインダーサウンドを取得しようとすると、悪意のあるサーバーとNTLM認証を行い、被害者のNTLMv2ハッシュが流出します。このハッシュは、NTLMリレー攻撃で他のホストやサービスにアクセスするために使用される可能性があり、完全なドメイン侵害につながる可能性があります。
このOutlookの脆弱性は、通常、悪意のあるカレンダーの招待状を被害者に送信することで悪用されますが、.msg形式を使用し、リマインダーをサポートしているOutlookのエンティティを使用して悪用される可能性があります。
対象
これを読んでいるあなたは、そうかもしれません。もしあなたや組織の誰かがOutlookを使用している場合は、CVE-2023-23397に注意する必要があります。この脆弱性についてはPoCが公開されているだけでなく、ほぼ1年前から野放しで悪用されていると言われています。バグレポートでは冗談を言うのが好きですが、この脆弱性の影響は残念ながら冗談ではありません。CVE-2023-23397はユーザーによる操作を必要としないため、他のOfficeの脆弱性よりもはるかに危険であり、最高のフィッシング対策トレーニングを受けたとしても、この脆弱性からあなたのシステムを守ることはできません。
対処法
しかし、絶望しないでください。展望は厳しいかもしれませんが、地平線上に光があります。幸運にも、私は短いセクションを書くことができ、皆さんは安全なシステムを手に入れることができるのですが、Microsoftはすでにこの脆弱性にパッチを適用しています。また、マイクロソフトは、システムにパッチを適用する方法についての詳細なガイドを発表しており、さらに、ユーザーが標的にされているかどうかを自動的に検出することも可能です。
Trellix Endpoint Detection and Response (EDR), Endpoint Security (ENS), Intrusion Prevention System (IPS), Helixを含む多くの製品でこの脆弱性がカバーされているため、Trellixのお客様も安心できます。
CVE-2023-24880: Windows SmartScreen
この脆弱性で2022年にさかのぼると思われるかもしれません。2020年に戻るよりは良かったのですが、今回はそうではありません。CVE-2023-24880は、CVE-2022-44698に対するマイクロソフトのパッチに対する回避策で、セキュリティ警告を表示せずに悪意のあるファイルをダウンロードすることができます。通常、ファイルをダウンロードすると、WindowsはMark of the Web (MOTW) と呼ばれるゾーン識別子をファイルに追加します。ファイルを実行すると、Windows SmartScreenはこのゾーン識別子をチェックし、ファイルがインターネットからダウンロードされたものであるかどうかを判断します。もしそうなら、SmartScreenはレピュテーションチェックを試みます。
この悪用は、無効なAuthenticode署名を作成し、SmartScreenがユーザーに表示されるセキュリティ警告ダイアログを回避してエラーを返すことによって行われました。今回適用されたパッチは、有効な署名が渡されているかどうかをチェックし、無効な署名が見つかった場合はダイアログを返します。しかし、攻撃者は、チェックに合格した署名ファイルを偽造し、全く別のエラーを発生させ、警告ダイアログを表示させないようにしたのです。
対象
バグレポート作成者のように熱心なミームコレクターかもしれませんし、ファイルをダウンロードするのが好きな普通のインターネットユーザーかもしれません。もしあなたがファイルをダウンロードし、防御するためのソフトウェアが期待通りに動作することを信じているのであれば、SmartScreenを保護するために何ができるかについて、次のセクションを確認して、注意する必要があります。
元の脆弱性と同様に、このバイパスも、主にMagniberランサムウェアのキャンペーンで活発に悪用されています。Google TAGは、2023年1月以降、Magniberランサムウェアの拡散に使用される悪意のあるMSIファイルのダウンロードを10万件以上観測したとするブログを公開しています。
対処法
賢明な方は、古いパッチを凌駕するこの脆弱性に対して、コンピュータを保護する最新のパッチに更新する必要があります。アップデートした後でも、インターネットからダウンロードしたファイルが信頼できないソースからのものである場合は、常に再確認することが賢明です。
また、WindowsのMSIファイルに偽装されたMagniberランサムウェアに関するKB記事を参照されることをお勧めします。この記事には、IOCと推奨される対策が記載されています。Trellixをご利用のお客様には、Trellix Network Security、Detection as a Service、Email Securityを含む複数の製品において、前述のキャンペーンで利用されたMagniberランサムウェアの配信メカニズムに対するサポートを提供しています。
原文:The Bug Report – March 2023 Edition
著者:Kasimir Schulz