Windows のゼロデイ脆弱性 CVE-2024-38193：北朝鮮の Lazarus APT が悪用している

Windows Zero-Day Attack Linked to North Korea’s Lazarus APT – CVE-2024-38193

2024/08/19 SecurityWeek — 先週に Microsoft がパッチを適用したゼロデイ脆弱性だが、北朝鮮の APT グループLazarus により悪用されていると、Gen Threat Labs のセキュリティ研究者たちが指摘している。Microsoft により “actively exploited” とマークされた、この脆弱性 CVE-2024-38193 は、最新の Windows オペレーティング・システム上で、SYSTEM 権限を許可してしまうものだ。

一般ユーザー向けのブランドとして、Norton／Avast／LifeLock／Avira などを展開する Gen Threat Labs は、FudModule ルートキットの使用と、Lazarus による悪用を関連付ける、簡潔なメモを提供している。 しかし、同社は、この関連を裏付ける指標や技術文書は公開していない。

Gen Threat は、「6月の上旬に、Luigino Camastra と Milanek が発見したのは、Windows の重要なパートである AFD.sys ドライバに存在する脆弱性を、Lazarus グループが悪用していることである。この脆弱性の悪用に成功した Lazarus は、機密性の高いシステム領域に不正にアクセスできるようになった。さらに彼らは、Fudmodule と呼ばれる特殊なマルウェアを使用し、セキュリティ・ソフトウェアによる検知を回避していることも判明しました」と述べている。

それより以前に Avast も、Lazarus APT ツールキットの一部として FudModule を文書化しているが、その際には、２月の時点における admin-to-kernel Windows のゼロデイ・エクスプロイトにも触れられていた。

この脆弱性は、8月の Patch Tuesday において、Microsoft が “exploited by” マークしていた、６件のゼロデイのうちの１つである。また、セキュリティ専門家たちは、２つ目の脆弱性 CVE-2024-38178 についても、韓国の被害者をターゲットにして、北朝鮮の APT グループが使用しているとしている。

この脆弱性は、Windows Scripting Engine におけるメモリ破壊に起因するものであり、認証済みのクライアントが騙されて悪意のリンクをクリックした場合に、リモート・コード実行が可能になるというものだ。ただし、この脆弱性の悪用を成功させる前提として、Edge を Internet Explorer モードで使用するよう、攻撃者が準備する必要がある。

この Scripting Engine のゼロデイ脆弱性は、韓国の Ahn Lab とNational Cyber Security Center により報告されており、国家に支援される APT による侵害で使用されたことが示唆されている。 なお、現時点において Microsoft は、防御者が感染の兆候を探す際に役立つ IOC (indicators of compromise) などのデータを公開していない。

Windows の脆弱性 CVE-2024-38193 は、2024/08/13 の「Microsoft 2024-08 月例アップデート：６件のエクスプロイトを含む９件のゼロデイ脆弱性に対応」でも、ゼロデイだと指摘されていました。それが Lazarus に悪用されるという、とても懸念される事態が発生しています。８月の Patch Tuesday の適用を、いま一度 ご確認ください。よろしければ、Lazarus で検索も、ご利用ください。