CISA adds Microsoft COM for Windows bug to its Known Exploited Vulnerabilities catalog
2024/08/06 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Microsoft COM for Windows の信頼できないデータのデシリアライズの脆弱性 CVE-2018-0824 (CVSS:7.5) を、Known Exploited Vulnerabilities (KEV) カタログに追加した。
信頼されていないデータのデシリアライズの脆弱性とは、適切な検証を行わずに信頼されていないソースからデータを、アプリケーションがデシリアライズした場合に生じる問題のことである。デシリアライゼーションとは、JSON や XML などのシリアライズされたフォーマットから、メモリ内のオブジェクトやデータ構造へと、データを戻す変換プロセスのことである。
Microsoft COM for Windows には、シリアライズされたオブジェクトを適切に処理できない場合に、リモート・コード実行を許してしまう脆弱性が存在する。
Microsoft のアドバイザリには、「この脆弱性の悪用に成功した攻撃者は、特別に細工したファイルやスクリプトを悪用して、不正なアクションを実行する可能性を得る。電子メールによる攻撃シナリオでは、攻撃者は特別に細工したファイルをユーザーに送信し、そのファイルをユーザーに開かせることで、この脆弱性を悪用できる。Web ベースの攻撃シナリオでは、攻撃者がホストする Web サイトに、この脆弱性を悪用するように設計された、特別に細工されたファイルを配置できる。また、ユーザーが提供するコンテンツを受け入れてホストする、侵害済みの Web サイトを悪用するケースもある」と記されている。
同社のアドバイザリによると、攻撃者は被害者を騙してリンクをクリックさせ、悪意の Web サイトへと誘導した後に、細工したファイルを開かせることで、この問題を引き起こすことが可能だという。
今週に Cisco Talos の研究者たちが報告したのは、中国に関連するグループが、台湾の政府系研究機関を侵害したことである。専門家たちは、この攻撃は APT41 グループによるものだと、中程度の信頼性を示している。
このキャンペーンは、早くても 2023年7月に開始されたものであり、ShadowPad マルウェアや Cobalt Strike に加えて、各種のポスト・エクスプロイト・ツールが、脅威アクターにより配信された。さらに Talos は、APT41 が CVE-2018-0824 の PoC エクスプロイトを、ダイレクトにメモリに注入するための、カスタム・ローダーを作成したことも突き止めた。この脅威アクターは、リモートコード実行の脆弱性を悪用して、ローカル権限の昇格を実現していたという。
BOD (Binding Operational Directive) 22-01によると、CISA KEV カタログに掲載された脆弱性悪用する攻撃からネットワークを保護するために、FCEB 機関は指定された期日までに対処する必要がある。CISA は連邦政府機関に対して、2024年8月26日までに、この脆弱性を修正するよう命じている。
専門家たちが推奨するのは、民間組織もカタログを見直し、インフラの脆弱性に対処することである。
Microsoft COM for Windows の脆弱性 CVE-2018-0824 (CVSS:7.5) が、CISA の KEV に追加されました。2024/08/05 の「中国由来の APT41 が台湾政府を侵害:Microsoft の古い脆弱性 CVE-2018-0824 を悪用」で詳しく説明されているように、この古い脆弱性をイニシャル・アクセス・ベクターとして悪用する APT41 が、台湾の政府機関を侵害したとのことです。よろしければ、APT41 で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.