LNK Stomping (CVE-2024-38217): Microsoft Patches Years-Old Zero-Day Flaw
2024/09/10 SecurityOnline — Microsoft の 2024年9月のセキュリティ更新プログラムにより、Smart App Control と SmartScreen に影響を及ぼす、ゼロデイ脆弱性 CVE-2024-38217 が対処された。この LNK stomping と命名された脆弱性は、重要なセキュリティ警告を回避する、悪意のファイルの存在を許すものであり、遅くとも2018年から悪用が確認されている。
Windows に組み込まれているセキュリティ機構は、インターネットからダウンロードされたファイルに対して自動的にフラグを立て、ユーザーが開こうとすると警告メッセージを表示するというものだ。しかしハッカーたちは、このセーフガードを回避する比較的簡単なテクニックを発見し、インターネットからダウンロードしたファイルを、警告を発することなく実行している。
脆弱性 CVE-2024-38217 は、Windows エクスプローラーが LNK ファイルを処理する際の、不適切な方法に起因する。攻撃者たちはファイルの正規化中において、通常とは異なるターゲット・パスや内部構造を持つ LNK ファイルを作成することで、Mark of the Web (MotW) 属性を削除するプロセスを引き起こす。
この MotW ラベルは、SmartScreen のような Windows のセキュリティ機能が、自動セキュリティ・チェックのトリガーにおいて依存する、きわめて重要なものである。
この脆弱性 CVE-2024-38217 は、2024年8月に Elastic Security のセキュリティ研究者たちに発見/報告されたものである。同社によると、遅くとも6年前から LNK stomping は悪用されており、2018年までさかのぼる多数のサンプルが、VirusTotal で検出されたという。
この報告を受けた Microsoft は、脆弱性 CVE-2024-38217 を速やかに確認し、Windows のリリースで修正することを約束した。その結果が、2024年9月のセキュリティ更新プログラムでの修正プログラムのリリースである。
セキュリティ専門家たちが、すべての Windows ユーザーに対して要求するのは、最新のセキュリティ更新プログラムを、直ちにインストールすることだ。それを怠ると、マルウェア感染などのサイバー攻撃に対して、システムが極めて脆弱になる。
この脆弱性 CVE-2024-38217 は、2024/09/10 の「Microsoft 2024-09 月例アップデート:4件のゼロデイを含む 79件の脆弱性に対応」で取り上げられているゼロデイの1つです。Mark of the Web (MOTW) 防御の回避という、とても厄介な侵害が可能になってしまいます。ご利用のチームは、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.