Remote Code Execution Vulnerability Found in Windows Internet Key Exchange
2022/11/25 InfoSecurity — Windows Internet Key Exchange (IKE) Protocol Extensions を標的とした一連のエクスプロイトが、野放し状態で悪用されていることが発見された。セキュリティ企業の Cyfirma が InfoSecurity と共有した最新のアドバイザリによると、発見された脆弱性は、およそ 1000 のシステムをターゲットに悪用されている可能性があるようだ。また、同社が観測した攻撃は、中国語話者の脅威アクターによる、“bleed you” と訳されるキャンペーンの一部である可能性があるという。
Cyfirma Research Team は、未知のハッカーがアンダーグラウンド・フォーラムで悪用リンクを共有し、脆弱なシステムを標的にした攻撃で使用される可能性があることも判明している。
アドバイザリには、「Microsoft Windows IKE Protocol Extensions に深刻な脆弱性が発見された。この脆弱性は、IKE プロトコル拡張コンポーネントの未知のコードに影響を与え、RCE (Remote Code Execution) を許す可能性がある」と記されている。
Cyfirma は、この脆弱性は特に、非推奨だがレガシーシステムと互換性のある IKEv1 プロトコルを処理するためのコードにあると述べている。
また、同社は、IKEv2 には影響がないが、Windows Server は V1/V2 の両方のパケットを受け入れるために、この脆弱性はすべての Windows Server に影響する深刻なものであると明らかにした。
Cyfirma の技術レポートには、「この脆弱性は、脆弱なシステムの svchost のメモリ破壊の問題を悪用している。このメモリ破壊は、インターネット鍵交換プロセスで、システムのページヒープ (デバッグ用プラグイン) が有効になっている場合に発生する。Internet Key Exchange プロトコル・サービスをホストする exe プロセスは、割り当てられたバッファを超えるデータを読み取ろうとする際にクラッシュする」と記されている。
原因究明に関して Cyfirma は、現時点では脅威アクターの詳細は不明だが、”bleed you” キャンペーンとロシアのサイバー犯罪者との関連も観測されたと指摘している。同社はレポートで、「外部脅威のランドスケープ管理から地政学的シナリオの変化に関する戦略的観点から、ロシアと中国は戦略的関係を形成すると観測されている」と述べている。
Cyfirma は、この脆弱性に対して、Microsoft が CVE-2022-34721 を割り当て、受信データの長さに関するチェックを追加し、長さが短すぎる場合には、そのデータの処理をスキップすることで修正したことを付け加えている。
この脆弱性 CVE-2022-34721 について、お隣のキュレーション・チームに聞いてみたところ、9月14日の Patch Tuesday で対処されており、CVSS 値は 9.8 とのことです。文中では、「野放し状態での悪用」と「IKEv1 との関連」が指摘されていますが、ゼロデイではないようです。なお、Windows Internet Key Exchange (IKE) について調べたところ、「IPsec の SA (Security Association) を (秘密対称鍵も含めて) 自動的に生成・管理するプロトコルである Internet Key Exchange (IKE) 」という説明がありました。
IoT OT Security News 
You must be logged in to post a comment.