Microsoft Windows MSHTML CVE-2021-40444 の公開後に攻撃が増大している

Microsoft: Windows MSHTML bug now exploited by ransomware gangs

2021/09/16 BleepingComputer — Microsoft によると、ランサムウェアを含む複数の脅威アクターが、先日にパッチが適用された Windows MSHTML のリモートコード実行の欠陥を狙っているとのことだ。この脆弱性 (CVE-2021-40444) は、回避策などが含まれるセキュリティ・アドバイザリを、Microsoft が公開する2週間以上も前の 8月18日から悪用されている。

Microsoft 365 Defender Threat Intelligence Team および Microsoft Threat Intelligence Center (MSTIC) のセキュリティ・アナリストが分析したテレメトリ・データによると、初期における少数の攻撃 (10件未満) では、悪意の Office 文書が使用されていた。

これらの攻撃では、カスタムされた Cobalt Strike Beacon ローダーを配布するための、突破口としてのアクセス・キャンペーンの一環として CVE-2021-40444 が標的にされた。少なくとも、1名の被害者のネットワーク上に配置された Beacon は、人間が操作するランサムウェアなどの、複数のサイバー犯罪キャンペーンに関連する悪意のインフラと通信していた。

8月の CVE-2021-40444 攻撃で使用された Cobalt Strike インフラの一部は、過去には BazaLoader や Trickbot のペイロード配信にも使用されたものだ。RiskIQ によると、Mandiant が UNC1878 (別名:WIZARD SPIDER / RYUK) として追跡している、DEV-0193 に関連する活動のインフラと重複している。配信されたペイロードは、他のグループの Cobalt Strike C2 サービス (CS-C2aaS) として使用される可能性のある、インフラに関連付けられたアクティビティ・クラスターである、DEV-0365 とも重複していた。

公表後にランサムウェアに悪用されるケース

Microsoft は、CVE-2021-40444 が公開されてから24時間以内に、悪用の試みが大幅に増加したことを確認している。研究者たちは、「Microsoft は、RaaS (Ransomware-as-a-Service) アフィリエイトを含む複数の脅威アクターたちが、公開された PoC エクスプロイト・コードを、ツールキットに採用していることを確認している。同社は、この状況を監視し、テストと実際の悪用を切り離す作業を続けている」と付け加えている。

MSTIC Threat Intelligence のアナリストである Justin Warner は、その他の脅威アクターたちも、これからの数日から数週のうちに、CVE-2021-40444 を悪用したプログラムを追加する可能性が高いと付け加えている。Microsoft では、2021年9月の Patch Tuesday で公開された、CVE-2021-40444 のセキュリティ・アップデートを直ちに適用し、侵入してくる攻撃をブロックすることを推奨している。この CVE-2021-40444 は、Windows Server 2008〜2019 までと、Windows 8.1/10 を実行しているシステムに影響し、深刻度を示す CVSS 値は 8.8 である。

Microsoft が公開したセキュリティ更新プログラムは、影響を受ける全ての Windowsバージョン に対応しており、また、Monthly Rollup/Security Only update/Internet Explorer cumulative update を含んでいる。

BleepingComputer は、2021年9月の Patch Tuesday を適用すると、既知の CVE-2021-40444 エクスプロイトが機能しなくなることを確認している。攻撃対象を減らすために、セキュリティ更新プログラムを適用できない顧客は、Microsoft が提供する回避策 (グループポリシーによる ActiveX の無効化および Windows Explorer でのプレビュー)を実施してほしい。

脆弱性情報が公開されると、ユーザーと脅威アクターの競争が始まることがあります。それほど多いことではありませんが、対象が Microsoft となると話は別です。攻撃者たちは、この CVE-2021-40444 を悪用して侵入した後に、システム内に Cobalt Strike Beacon ローダーを埋め込んでいくようです。文中にあるように、BazaLoader や Trickbot との関連性があるなら、かなり手強い攻撃者たちとなります。対応を急いでくださいね。

%d bloggers like this: