CISA Warns of Active Exploitation of Windows Kernel Vulnerability
2024/03/05 SecurityOnline — CISA は、深刻度の高い Windows Kernel の脆弱性 CVE-2024-21338 を、KEV (Known Exploited Vulnerabilities Catalog) カタログに追加した。この脆弱性は、脆弱なシステムへの SYSTEM レベルの特権アクセスを得るため、攻撃者たちにより頻繁に悪用されている。
攻撃の背後にいる脅威アクター
観測されている一連の攻撃は、北朝鮮の国家支援ハッカー・グループである Lazarus に帰属する、Avast のセキュリティ研究者たちは見ている。以前から、このグループは、政府機関や重要なインフラを標的とする、数多くの高度なサイバー攻撃を実行してきた。
この脆弱性が危険な理由
脆弱性 CVE-2024-21338 には、以下のような懸念があることから、特に危険だと見られている:
- 権限の昇格:この脆弱性は、Windows の AppLockerドライバー (appid.sys) 内に存在しており、攻撃者による SYSTEM に特権への昇格が可能になる。それにより、攻撃者は、侵害したシステムをほぼ無制限に制御できるようになる。
- カーネル・レベルのアクセス:この脆弱性の悪用に成功した攻撃者は、OS のコアの操作が可能となり、セキュリティ・ソフトウェアの無効化/活動の痕跡の隠ぺい/マルウェアのペイロード追加などを実行する可能性がある。
- 広範なシステムが影響を受ける:この脆弱性に対して脆弱なのは、Windows 10/11、Windows Server 2019/2022 の全てのバージョンとなる。
Lazarus の洗練された攻撃ツールキット
2023年8月に始まったキャンペーンで Lazarus は、このゼロデイ脆弱性を広範囲に悪用した。また、このキャンペーンでは、攻撃手法が大幅にアップグレードされていた:
- 洗練されたルートキット:一般的なセキュリティ製品による検出を回避する、高度なテクニックを駆使する Lazarus は、侵害したシステムの足場を維持するために、アップグレードされた FudModule ルートキットを展開していた。
- ステルス性の高い新しい RAT:Lazarus は未知の RAT (Remote Access Trojan) を使用していたことが、Avast により発見された。それにより、浮き彫りにされるのは、マルウェア開発における Lazarus の革新性である。
緩和策
Microsoft は、2024年2月の Patch Tuesday の一環として、この脆弱性 CVE-2024-21338 のパッチをリリースしている。これらのパッチを直ちに適用することは、特に連邦政府機関に対する CISA の強制指令を考慮すると、組織にとって極めて重要である。
この Windows Kernel の脆弱性 CVE-2024-21338 については、2024/03/01 の「Microsoft のゼロデイ CVE-2024-21338:Lazarus の Rootkit 攻撃で悪用される」が第一報となります。文中でも指摘されているように、2024年2月の Patch Tuesday で修正されていますが、そのときには悪用の情報は無かったように記憶しています。よろしければ、Lazarus で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.