Microsoft Windows における２件のゼロデイ：Sophos と ZDI と Google が発見

Microsoft fixes two Windows zero-days exploited in malware attacks

2024/04/09 BleepingComputer — Microsoft は April 2024 Patch Tuesday において、積極的に悪用されるゼロデイ脆弱性２件を修正した。１つ目の脆弱性 CVE-2024-26234 は、プロキシ・ドライバのなりすましを許す欠陥だと説明されている。2023年12月に Sophos X-Ops により発見され、有効な Microsoft Hardware Publisher 証明書を使用して署名された悪意のドライバを追跡するために、同社の Team Lead である Christopher Budd により報告されたものだ。

この悪意のファイルは、Catalog Thales では Catalog Authentication Client Service と表示されているため、Thales Group へのなりすましを試みていた思われる。しかし、Sophos X-Ops が調査したところ、”LaiXi Android Screen Mirroring” というマーケティング・ソフトウェアに、以前はバンドルされていたことが判明した。

LaiXi ソフトウェアの真偽について、Sophos は確認できなかったが、このファイルが悪意のバックドアであることを、Christopher Budd は確信している。

彼は、「2022年のときと同様に、直ちに Sophos は、Microsoft Security Response Center に報告した。我々の発見を検証した後に、Microsoft のチームは、関連ファイルを失効リストに追加した。その結果は、通常の Patch Tuesday の一部として、今日のアップデートで更新された」と述べている。

この Sophos の発見は、2024年1月の Stairwell による レポートや、リバースエンジニアリングの専門家 Johann Aydinba のツイートで共有された情報をベースにしたものである。

今日の未明にリリースされた後に、Microsoft は CVE-2024-26234 の悪用状況を修正するためにアドバイザリを更新し、それが野放し状態で悪用されていることを認めた。

2023年7月と 2022年12月にも Sophos は、正規の WHCP 証明書で署名された、悪意のドライバについて報告している。ただし、そのときの Microsoft は、今日のようにCVE-ID を発行せずに、セキュリティ・アドバイザリ  (2023年7月／2022年12月) だけを発表していた。

マルウェア攻撃に悪用される MotW バイパス

今日の Microsoft が、サイレント・パッチを適用した２つ目のゼロデイ脆弱性 CVE-2024-29988 は、SmartScreenプロンプトのセキュリティ機能バイパスの脆弱性であり、保護メカニズムの不具合に起因すると説明されている。

この脆弱性 CVE-2024-29988 は、Trend Micto – ZDI の Peter Girnus と、Google – TAG の Dmitrij Lenz および Vlad Stolyarov により報告されたものであり、脆弱性 CVE-2024-21412 への対応をバイパスものだと説明されている。

ZDI の Head of Threat Awareness である Dustin Childs は、「EDR／NDR の検出を回避し、Mark of the Web (MotW) 機能をバイパスした後に、標的とする Windows システム上でマルウェアを展開する攻撃で積極的に悪用されている。この脆弱性 CVE-2024-29988 は、別の脆弱性 CVE-2024-21412に関連するものであり、ZDI の脅威リサーチャーにより発見され、2024年2月に対処されたものだ」と述べている。

彼は、「最初のパッチである脆弱性 CVE-2024-21412 への対応では、この問題を完全に解決することができなかった。今回のアップデートは、エクスプロイト・チェーンにおける、２番目の部分に対処している。以前の Microsoft は、この脆弱性にパッチを当てるとは言っていなかった」と付け加えている。

脆弱性 CVE-2024-29988 を悪用する、金銭的動機に基づくハッキング・グループWater Hydra は、2023年の大晦日にも CVE-2024-21412 をゼロデイとして悪用し、スピアフィッシング攻撃で DarkMe RAT (remote access trojan) を展開することで、FX 取引フォーラムや Telegram の株取引チャンネルを標的にしていた。

さらに言うなら、脆弱性 CVE-2024-21412 も、別の脆弱性 CVE-2023-36025 への対策をバイパスするものである。この脆弱性 CVE-2023-36025 は、Defender SmartScreen に存在するものであり、ゼロデイとして悪用されることで Phemedrone マルウェアをドロップしていたが、2023年11月の Patch Tuesday でパッチが適用されていた。

今日の未明に BleepingComputer は Microsoft に対して確認を取ったが、同社の広報担当者からは、コメントが得られなかった。

今日の Microsoft は、2024年4月の Patch Tuesday の一環として、150件の脆弱性に対して、セキュリティ更新プログラムをリリースしている。

今月の Patch Tuesday に関しては、2024/04/09 の「Microsoft 2024-04 月例アップデート：67件の RCE バグと 150件の脆弱性に対応」で、すでに お伝えしています。そちらの記事には、SharePoint における２件のゼロデイを Varonis が報告と書かれていましたが、今日の記事とは別の脆弱性のようです。なお、脆弱性 CVE-2024-29988 に関しては、同じく 2024/04/09 の「Microsoft の脆弱性 CVE-2024-29988：積極的な悪用を ZDI が観測」と重なってしまったようです。