Microsoft SmartScreen の脆弱性 CVE-2024-21412:マルウェア 拡散に悪用されている

Hackers Exploit Microsoft Defender Smartscreen Bug CVE-2024-21412 To Deliver Acr, Lumma, And Meduza Stealers

2024/07/25 SecurityAffairs — 脆弱性 CVE-2024-21412 (CVSS:8.1) を悪用して、ACR Stealer/Lumma/Meduza などの情報スティーラーを拡散するマルウェア・キャンペーンが、Fortinet FortiGuard Labs の研究者たちにより発見された。悪用が観測された CVE-2024-21412 は、Microsoft Windows SmartScreen に存在する脆弱性であり、インターネット・ショートカット・ファイルのセキュリティ機能バイパスの欠陥だとされる。


この脆弱性は、悪意を持って細工されたファイルに対する、不適切な処理に起因する。認証されていない攻撃者であっても、表示されるセキュリティ・チェックをバイパスするように設計された、特別に細工されたファイルを被害者に送信することで、この欠陥を誘発させることが可能となる。ただし攻撃者は、被害者を騙してファイルのリンクをクリックさせる必要がある。この不具合は、以下により報告されている:

  • Trend Micro Zero Day Initiative の Peter Girnus (gothburz)
  • Aura Information Security の dwbzn
  • Google Threat Analysis Group の Dima Lenz/Vlad Stolyarov

すでに Microsoft は、2024年2月の Patch Tuesday で、この脆弱性に対処している。その一方で Fortinet は、スペイン/タイ/米国などを標的としたキャンペーンが、ブービートラップ・ファイルで行われたことを報告している。

Fortinet のレポートには、「FortiGuard Labsは、CVE-2024-21412 を悪用して複数のファイルを拡散し、悪意の実行可能ファイルをダウンロードさせるというキャンペーンを観測した。この攻撃は、まず被害者を誘い、LNK ファイルをダウンロードするように設計された URL ファイルへの、細工されたリンクをクリックさせることから始まる。この LNK ファイルは、HTA スクリプトを取り込んだ、実行可能ファイルをダウンロードするものだ。そして、スクリプトが実行されると、PowerShell コードの解読および復号化が行われ、最終的な URL/おとり PDF ファイル/悪意のシェルコード・インジェクターが取得される。これらのファイルは、最終的なステイラーを正規のプロセスに注入し、悪意のある活動を開始し、盗んだデータを C2 サーバに送り返すことを目的としている。この脅威アクターは、検知を回避する各種のインジェクターを設計し、さまざまな PDF ファイルを使用することで、北米/スペイン/タイなどの特定の地域を標的にしている」と詳述されている。

CVE-2024-21412 Microsoft malware


このキャンペーンの調査中に、研究者たちは、埋め込まれた HTA スクリプトを取り込んだ、同様の実行ファイルをダウンロードするために使用される、複数の LNK ファイルを検出した。この HTA スクリプトは悪意のコードを実行し、被害者の注意をそらすために設計されたおとり PDF ファイルと、その後の攻撃のためにシェルコードを注入する実行ファイルの、2つのファイルをダウンロードする。

研究者たちは、2種類のインジェクターを特定した。1つ目の亜種は、VirusTotal での検出率が低い Imgippo でホストされている、イメージ・ファイルからシェルコードをダウンロードするものだ。このシェルコードは、画像ピクセルから抽出および実行されるのだが、そのプロセスでは Windows API の “GdipBitmapGetPixel” が使用される。このコードは必要な API を取得し、フォルダを作成し、データ内の特定のバイトパターンで示される HijackLoader を取り込んだ、”%TEMP%” ディレクトリにファイルをドロップする。

2つ目のインジェクターは、単にデータセクションからコードを復号化し、NtCreateSection/NtMapViewOfSection/NtProtectVirtualMemory などの Windows API 関数を使用して、シェルコードをシステムに注入する。このアプローチは、メモリ・セクションと保護を操作することで、悪意のペイロードの実行を容易にするものだ。

Fortinet は、HijackLoader を介して配信される、ACR スティラー Meduza Stealer バージョン 2.9 を操る脅威アクターを観測した。

同社のレポートは、「このような脅威を軽減するために、組織は検証されていないソースからの、ファイルのダウンロード/実行の危険性について、ユーザーを教育する必要がある。脅威アクターたちの絶え間ない技術革新に対抗するためには、高度な攻撃ベクターから保護するための、強固でプロアクティブなサイバーセキュリティ戦略が必要となる。積極的な対策/ユーザーの認識/厳格なセキュリティ・プロトコルは、組織のデジタル資産を保護するために不可欠な要素である」と締め括られている。

この脆弱性 CVE-2024-21412 ですが、2024/07/07 の「Microsoft SmartScreen の脆弱性 CVE-2024-21412:情報窃取マルウェアの展開に悪用されている」でも、Cyble Research and Intelligence Labs (CRIL) に問題を指摘されていました。それから半月以上が経過していますが、事態が悪化しているのでしょうか? パッチ適用の放置や漏れが多いということなのでしょう。なお、Microsoft のアドバイザリでも、この脆弱性は、“Exploit” と明記されています。お気をつけください。