Day: August 16, 2024

WPS Office の脆弱性 CVE-2024-7262/7263 (CVSS:9.3) が FIX:すでに悪用が確認されている

WPS Office Vulnerabilities Expose 200 Million Users: CVE-2024-7262 Exploited in the Wild

2024/08/16 SecurityOnline — 2億人以上のユーザーを抱える人気のオフィス・スイート WPS Office に、2つのリモート・コード実行の脆弱性 CVE-2024-7262/CVE-2024-7263 (CVSS:9.3) が発見された。これらの脆弱性は、WPS Office の promecefpluginhost.exe コンポーネントで発見されたものであり、CVE-2024-7262 は WPS Office 12.2.0.13110〜12.2.0.13489 に対して、CVE-2024-7263 は 12.2.0.13110〜12.2.0.17153 に対して、影響を及ぼす。

Continue reading “WPS Office の脆弱性 CVE-2024-7262/7263 (CVSS:9.3) が FIX:すでに悪用が確認されている”

Google Chrome の Manifest v2 ベースのエクステンション:どうすれば延命できるのか?

Save uBlock Origin: How to Bypass Google’s Chrome Update and Extend Support

2024/08/16 SecurityOnline — Google Chrome エクステンション・ページにおいて、廃止が間近に迫った Manifest v2 ベースのエクステンションを自動的に検出し、ユーザーに警告する機能がサポートされた。現時点において、それらの古いエクステンションは完全には無効化されていないが、Google の方針は、それらを近々に無効化し、起動できないようにするというものだ。1つの事例として、人気の広告ブロック拡張機能である uBlock Origin も、Manifest v2 に基づいて開発されている。 広告ブロック機能に v3 が課す制限のため、その開発チームは v3 に基づき、uBlock Origin Lite と呼ばれる新しいバージョンを作成した。

Continue reading “Google Chrome の Manifest v2 ベースのエクステンション:どうすれば延命できるのか?”

Azure サインインにおける MFA の義務化:2024年10月の Phase_1 からスタート!

Microsoft Mandates MFA for All Azure Sign-Ins

2024/08/16 InfoSecurity — Microsoft の発表は、すべての Azure サインインに、多要素認証 (MFA) を義務付けるというものだ。ユーザーの選択は、Microsoft Entra を通じて提供される、複数の MFA オプションからニーズに合わせて行われる。以下は、その一例である:

  • Microsoft Authenticator による、プッシュ通知/生体認証/ワンタイムパスコードを使用する、モバイル・アプリからのサインイン承認。
  • Fast Identity Online (FIDO) 標準をサポートする、外部 USB 近距離無線通信 (NFC) などの外部セキュリティ・キーを使用する、ユーザー名/パスワードを必要としないFIDO2 セキュリティ・キーによるサインイン承認。
  • 個人認証 (PIV : personal identity verification) および、共通アクセスカード (CAC : common access card) を用いた、フィッシングに強い証明書ベースの MFA 実施。
  • Microsoft Authenticator を使用する Passkeys の提供。
  • SMS/Voice による承認
Continue reading “Azure サインインにおける MFA の義務化:2024年10月の Phase_1 からスタート!”

Windows の脆弱性 CVE-2022-26923 の悪用:電子メール爆弾から RAT へつなげる手口とは?

Cybercriminals Evolve Social Engineering Tactics, Exploit CVE-2022-26923 in Sophisticated Campaign

2024/08/16 SecurityOnline — 先日にサイバーセ・キュリティ企業 Rapid7 が特定したのは、同社の脅威インテリジェンス・チームが継続的に監視している、進行中のソーシャル・エンジニアリング・キャンペーンに関連する一連の巧妙な侵入の試みである。このキャンペーンは、欺瞞的かつ技術的なテクニックを織り交ぜて組織を標的とするものであり、最近では、セキュリティ対策の迂回や、新たなツールやテクニックの採用により、システム侵害の確率を高めている。

Continue reading “Windows の脆弱性 CVE-2022-26923 の悪用:電子メール爆弾から RAT へつなげる手口とは?”

Google 広告を狙うマルバタイジング:偽ページへとリダイレクトさせた後の仕掛けとは?

Google Products Exploited in Sophisticated Malvertising Scheme

2024/08/16 SecurityOnline — Google 検索を利用する人々をターゲットにする巧妙なマルバタイジング・キャンペーンを、Malwarebytes Labs のサイバー・セキュリティ研究者が発見した。詐欺師たちは悪質な検索広告を介して、被害者を偽の Google ホームページへとリダイレクトするが、そこでは、Google の全製品ラインナップが大胆に偽装されている。

Continue reading “Google 広告を狙うマルバタイジング:偽ページへとリダイレクトさせた後の仕掛けとは?”

Consolidation 対 Optimization:セキュリティにおいて軽減すべきコストとストレスについて

Consolidation vs. Optimization: Which Is More Cost-Effective for Improved Security?

2024/08/16 SecurityWeek — 経済/政治の情勢をマクロ視点から見ると、セキュリティ・リーダーたちが迫られる大きな決断として、自社の環境をより安全に守るための、金銭的/人的なリソースの使い方が浮上してくるだろう。この、いまの情勢が、脅威アクターたちの活性化を生み出しているのだが、その活動を縮小するよう、セキュリティ・リーダーは求められる。このパラドックスが、組織のオペレーションとセキュリティに携わる人々のストレス・レベルを引き上げている。

Continue reading “Consolidation 対 Optimization:セキュリティにおいて軽減すべきコストとストレスについて”