Windows ゼロデイ NTLM 脆弱性 CVE-2024-43451:1回の右クリックで C2 通信を確立

Right-Click to Hack: Zero-Day CVE-2024-43451 Vulnerability Targets Windows Users

2024/11/13 SecurityOnline — Windows システムに影響を与える、新たなゼロデイ脆弱性 CVE-2024-43451 が、ClearSky Cyber Security により発見された。この欠陥を突く攻撃者は、右シングル・クリックという単純な操作をユーザーに実行させるだけで、悪意のアクティビティに URL ファイルを悪用できるようになる。

ウクライナ政府の侵害済みの公式サイトから配布される、学術証明書に偽装された URL ファイルを、特定の方法で操作することで、この脆弱性はトリガーされる。

ClearSky の研究者が発見したのは、ウクライナ政府の公式サイトからダウンロードされた悪意のファイルである。そのファイル対して、右クリック/ドラッグ/削除のいずれか1つの操作を実施するだけで、リモート・サーバに接続するコマンドが実行されることを、彼らは突き止めた。このようにトリガーが簡単なため、ユーザーが知らないうちに感染する可能性が非常に高くなり、リスクが増大している。

ClearSky のレポートによると、このキャンペーンは、ロシアとの繋がりが疑われる脅威アクター UAC-0194 と関連している可能性が高いという。CERT-UA が ClearSky に共有した技術情報が示唆するのは、ウクライナの組織を標的とした大規模なキャンペーンの一部として、このエクスプロイトが使用されていることだ。

このエクスプロイトは、感染した URL ファイルとのインタラクションにおいて、SMB (Server Message Block) プロトコルを用いて、外部サーバとの不正な通信を確立する。ClearSky は、「このファイルを右クリックすると、外部サーバへの接続が確立される」と説明している。

このインタラクションにより、攻撃者は SMB プロトコルを通じて NTLM ハッシュを取得し、”Pass-the-Hash” 攻撃として知られる手法でユーザーに成りすますという。この強力なエクスプロイトは、ユーザーのデータを侵害するだけではなく、ユーザーのパスワードを必要としない攻撃者に対して、Windows の機密リソースへのアクセス権限を与える。

この攻撃は、卒業証書の PDF と URL ファイルを取り込んだ、悪意のコンポーネントである ZIP ファイルから始まる。悪意のファイルが右クリック/ドラッグされると、攻撃者のサーバとの通信が開始される。このエクスプロイトに関連するネットワーク・インフラを分析したところ、暗号通貨による支払いに対応するロシアの VPS プロバイダーに関連する、IP アドレスへの接続が発見されたという。それが示唆するのは、脅威アクターが活動を隠ぺいしようとする可能性である。

ClearSky の研究者たちが確認したものには、Redline Stealer や SparkRAT などの、各種マルウェアの配布に、この脆弱性が利用されているという事実もある。初期の分析では、ダウンロードされた ZIP ファイルが一部のシステムに SparkRAT をインストールしていることが判明したが、その後の亜種では、Redline Stealer が利用されていた。ClearSky は、「この類似性からは、2つの可能性が考えられる。1人の攻撃者が異なるタイプのマルウェアを使用しているか、2つの異なる脅威アクターが同じ脆弱性を悪用しているということだ」と指摘している。

Microsoft は、ClearSky の調査結果に迅速に対応し、2024年11月12日に CVE-2024-43451 に対応するパッチをリリースした。

CERT-UA は、ClearSky と緊密に連携し、このエクスプロイトに関連するフィッシング・キャンペーンに関する洞察を提供している。具体的に言うと、攻撃者は、学術証明書の更新を促すフィッシング・メールを送信してきたという。この戦術により、不正ファイルをダウンロードして起動するように、被害者を誘導してきたことが判明した。

ClearSky は、このキャンペーンに関連する SHA-256 ハッシュや IP アドレス (IP 92.42.96[.]30 など) を含む、IoC (Indicators of Compromise) のリストを公開している。そして研究者たちは、この IP アドレスを、ロシアの VPS プロバイダーである Saltu[.]Cloud と関連付けている。ネットワーク管理者やサイバー・セキュリティの専門家たちが推奨するのは、それらの兆候を監視することである。それにより、このエクスプロイトに関する、潜在的な侵害を検知し、防御策を強化できる。

CISA KEVCVE-2024-43451: Microsoft Windows NTLMv2 Hash Disclosure Spoofing Vulnerability

Windows ゼロデイ脆弱性 CVE-2024-43451 が悪用されているようです。しかも、1回の右クリックで C2 通信を確立するという、とてもスピーディーな攻撃形態を持っているようです。現時点では、ロシアによるウクライナ攻撃で用いられている手口とのことですが、それが、いつまでも、世界中に広がらないとは限りません。よろしければ、Phishing で検索を、ご参照ください。