Microsoft Office を攻撃する Agent Tesla RAT:古い脆弱性が悪用されるという現実

Old vulnerabilities are still a big problem

2023/09/06 HelpNetSecurity — Microsoft Office に存在する、古いリモートコード実行の脆弱性を悪用して、無防備なユーザーに Agent Tesla RAT 配信するィッシングキャンペーンが、つい先日に発見された。Fortinet の研究者である Xiaopeng Zhang は、「脆弱性 CVE-2017-11882/CVE-2018-0802 に対するパッチは、2017年11月と 2018年1月に、Microsoft からリリースされている。しかし、脅威アクターたちにとって、これらは依然として人気の脆弱性であり、5年以上が経過した今でも、まだパッチが適用されていないデバイスが野放しになっていることが示唆される。私たちは、IPS レベルで、1日あたり 3000件の攻撃を観測し、緩和している。観測された脆弱なデバイスの数は、1日あたり約 1300台である」と述べている。

Patches are available, but…

その一方で、9月4日 (月) に Qualys が発表したのは、脅威を構成するマルウェア/スレットアクター/ランサムウェアなどに悪用されている、脆弱性 Top-20 である。きわめて古いものもあれば、新しいものもあるが、最新のものは2年前となっている。このリストの Top は CVE-2017-11882 であり、16位には CVE-2018-0802 が入っている。

Microsoft Office と Wordpad の特定バージョンに影響を及ぼす脆弱性は、CVE-2017-0199 と CVE-2017-8570 であり、他の Microsoft に関する脆弱性は以下の通りである:

  • CVE-2012-0158 (in Windows Common Controls)
  • CVE-2020-1472 (aka Zerologon, in Microsoft’s Netlogon Remote Protocol)
  • CVE-2017-0144, CVE-2017-0145, CVE-2017-0143 (in Microsoft’s SMBv1 protocol)
  • CVE-2021-34473, CVE-2021-34523, CVE-2021-31207 (collectively dubbed ProxyShell, affecting Microsoft Exchange Servers)
  • CVE-2018-8174 (in Microsoft Windows’ VBScript Engine)
  • CVE-2013-0074 (in Microsoft Silverlight)
  • CVE-2021-26855 (a Microsoft Exchange Server authentication bypass flaw that’s part of the ProxyLogon exploit chain)

各種のソリューションに影響を及ぼすものもある:

  • CVE-2012-1723 and CVE-2012-0507 (in Oracle’s Java Runtime Environment)
  • CVE-2019-11510 (in the Pulse Connect Secure VPN solution)
  • CVE-2021-44228 (in the Apache Log4j library)
  • CVE-2014-6271 (aka Shellshock, affecting Linux Bash)
  • CVE-2019-2725 (in Oracle WebLogic Server)
  • CVE-2018-13379 (in Fortinet FortiGate)
  • CVE-2021-26084 (in Atlassian Confluence Server)

これらのすべての脆弱性に対しては、パッチが適用されており、特定の機能/サービスを OFF にすることで緩和が可能なものもある。しかし、攻撃者たちは、何年にもわたり多くのシステムがパッチが未適用であるという事実を知っており、それをアテにしている。

コンシューマであれ、エンターテイメントであれ、利用可能なパッチを早急に導入するよう取り組むべきであることは、言うまでもない。

最新の脆弱性情報をチェックすることは、とても大切なことですが、現実に Agent Tesla などが悪用している、古い脆弱性をチェックすることも重要ですね。その意味で、この Qualys のレポートは、とても貴重です。ぜひ、ご利用ください。