Most Q2 Attacks Targeted Old Microsoft Vulnerabilities
2022/08/16 DarkReading — 2021年9月にパッチが適用された、Microsoft の MSHTML ブラウザエンジンに存在するリモートコード実行の脆弱性だが、それを狙った攻撃が 2022年 Q2 に急増したことが、Kaspersky の分析により判明した。Kaspersky の研究者たちは、この脆弱性 CVE-2021-40444 を狙った攻撃は、少なくとも 4886件を数え、2022年 Q1 に比べて8倍に増加したという。 この脆弱性に対する敵対者の関心が継続しているのは、悪用が容易であるためだと、同社は分析している。
Kaspersky によると、この脆弱性が悪用されている分野としては、エネルギー/産業/研究開発/IT/金融/医療技術などが挙げられ、各種の組織に対する攻撃が確認されているという。
一連の攻撃において、敵対者はソーシャル・エンジニアリングの手口を用いて被害者を騙し、特別に細工された Office 文書を開かせ、悪意のスクリプトをダウンロード/実行させようとしている。この脆弱性は、Microsoft が 2021年9月に公開した時点で、活発な攻撃を受けていた。
MSHTML の欠陥を狙った攻撃は、Microsoft の脆弱性を狙った、2022年 Q2 の広範なアクティビティの一部である。Kaspersky によると、2022年 Q2 における全プラットフォームに対する侵害のうち、Windows の脆弱性を狙ったものが 82% を占めているという。この、MSHTML 脆弱性への攻撃は劇的に増加したが、最も悪用された脆弱性ではない。
脅威アクターたちは古い脆弱性で稼ぎ出している
Kaspersky のテレメトリー測定では、2018年と2017年に発生した、一握りの脆弱性に対する攻撃がはるかに多いことが判明した。その1つが、2022年 Q2 に 345,827回も攻撃された、Microsoft Officeのリモートコード実行脆弱性 CVE-2018-0802 である。また、2017年に発生したメモリ破壊の脆弱性 CVE-2017-11882 は 140,623回であり、2017年の Microsoft Office/WordPad のリモートコード実行の脆弱性 CVE-2017-0199 は 60,132回の攻撃に遭遇している。
最近の脆弱性の中で、最も多く標的にされたのは、Microsoft Support Diagnostic Tool (MSDT) の脆弱性 CVE-2022-30190 (Follina) だった。この RCE の脆弱性は、今年に Microsoft が公開した、5つのゼロデイ欠陥のうちの1つである。
Kaspersky は、2022年 Q2 に発生した、50万人以上のユーザーに対する攻撃で、旧バージョンの Microsoft Office の脆弱性が使用されていることを発見した。それらの攻撃は、古い技術に存在する未パッチの脆弱性が、脅威アクターにとって極めて魅力的なターゲットであることを改めて示していると、同社は指摘している。Kaspersky は、「旧バージョンのアプリケーションは、依然として攻撃者の主たる標的であり、2022年 Q2 には、それらの脆弱性を狙った攻撃により、合計で約54万7000人のユーザーが影響を受けた」と述べている。
この、Kaspersky のレポートは、Microsoft の脆弱性に対して、迅速なパッチ適用が推奨する理由を、セキュリティ専門家たちが改めて示すものとなっている。最近のデータでは、脆弱性の存在が判明した後、攻撃者による攻撃が、以前よりもはるかに早く始まることが示されている。2021年に Rapid7 が行った調査によると、脆弱性の悪用が判明するまでの平均時間は、2021年の場合は僅か 12日であり、2020年の 42日から 71% も減少していることが明らかになった。同社は、この数字について、ゼロデイ・エクスプロイトの活動が急増したことが原因だと説明している。以前に Rapid7 は、「悪用が始まるまでの時間が、毎年のように大幅に短縮されている。したがって、使い古された緊急パッチ適用手順だけではなく、インシデント対応プロトコルも、繰り返して使用する必要がありそうだ」と指摘している。
2022年 Q2 における侵害のうち、Windows プラットフォームの脆弱性を狙ったものが 82% を占めているというのは、なんとなく納得できる数字だと思います。そして、CVE-2021-40444 狙いが急増しているのにも驚きますが、CVE-2018-0802/CVE-2017-11882/CVE-2017-0199 が積極的に悪用されていという現実には、さらに驚いてしまいます。脆弱性 Follina (CVE-2022-30190) も、きっと悪用され続けるのでしょう。
IoT OT Security News 
You must be logged in to post a comment.