CVE-2024-26229: Windows Elevation of Privilege Flaw Weaponized, PoC Exploit on GitHub 2024/06/14 SecurityOnline — Microsoft Windows において、先日にパッチ適用された深刻度の高い脆弱性 CVE-2024-26229 を狙う PoC エクスプロイト・コードが GitHub で公開され、セキュリティ研究者たち警鐘を鳴らしている。この脆弱性の悪用に成功した攻撃者は、Windows 上で最高レベルのアクセス権である SYSTEM 権限を得ることが可能となる。この脆弱性はヒープバッファ・オーバーフロー (CWE-122) に分類され、深刻なセキュリティ侵害につながる可能性があるものだ。
Microsoft delays Windows Recall rollout, more security testing needed 2024/06/14 HelpNetSecurity — Windows 11 の機能として物議を醸している Recall のリリースを、Microsoft は延期している。Microsoft の Copilot+ PC がリリースされる予定の 6月18日から、Recall のプレビューは広く利用できるはずだった。しかし、現時点においては、Windows Insider Program (WIP) の参加者のみによる利用が、今後の数週間のうちに開始される計画に変更されている。
CISA Adds Android Pixel, Microsoft Windows, Progress Telerik Report Server Bugs To KEV Catalog 2024/06/14 SecurityAffairs — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、その KEV (Known Exploited Vulnerabilities) カタログに、以下の脆弱性を追加した:
Phishing emails abuse Windows search protocol to push malicious scripts 2024/06/12 BleepingComputer — 新たに発見されたフィッシング・キャンペーンで用いられるのは、Windows 検索プロトコル (search-ms URI) を悪用する HTML 添付ファイルである。そこから、リモート・サーバにホストされているバッチ・ファイルがプッシュされ、最終的にはマルウェアの配信にいたるという。Windows Search プロトコルは URI (Uniform Resource Identifier) であり、アプリケーションが Windows エクスプローラを開き、特定のパラメータを介した検索を可能にするものだ。
Black Basta Ransomware May Have Exploited MS Windows Zero-Day Flaw 2024/06/12 TheHackerNews — 先日に公開された Microsoft Windows Error Reporting Service の権限昇格の脆弱性を、Black Basta 由来と思われるランサム・アクターが、ゼロデイとして悪用した可能性があることが、Symantec の最新レポートにより判明した。Windows Error Reporting Service に存在する、権限昇格の脆弱性 CVE-2024-26169 (CVSS:7.8) の悪用に成功した攻撃者は、SYSTEM 権限を得ることが可能になる。なお、この脆弱性に対して Microsoft は、2024年3月の時点でパッチを適用している。
TotalRecall shows how easily data collected by Windows Recall can be stolen 2024/06/04 HelpNetSecurity — 新たに発表された Windows Recall 機能を悪用して、機密情報を盗み出す方法を示すツール TotalRecall が、エシカル・ハッカー Alexander Hagenah により作成された。5月20日に Microsoftは、Windows 11 が搭載される PC 用の、新たなラインナップとして、”Copilot+” を発表した。そのプレビュー機能の中ある Recall だが、セキュリティの専門家やプライバシーを重視するユーザーから、すぐに疑いの目で見られることになった。
Microsoft deprecates Windows NTLM authentication protocol 2024/06/04 BleepingComputer — Microsoft は、Windows/Windows Server における NTLM 認証を正式に非推奨とし、開発者に対しては、将来的な問題を回避するために Kerberos/Negotiation 認証へと移行すべきだと述べている。同社は 1993年に、Windows NT 3.1 の認証プロトコルとして、 LAN Manager (LM)後継である、NTLM (New Technology LAN Manager) をリリースしている。
Researcher Details Windows Elevation of Privilege Vulnerability (CVE-2024-26238) 2024/05/27 SecurityOnline — Microsoft の Windows Update コンポーネント RUXIM (Reusable UX Integration Manager) に存在する、脆弱性 CVE-2024-26238 (CVSS:7.8) に関する詳細が、Synacktiv のセキュリティ研究者 Guillaume Andre により公開された。この脆弱性の悪用に成功した攻撃者は、PLUGScheduler と呼ばれるスケジュールされたタスクを悪用し、Windows システムを完全に制御する可能性を持つことになる。
Windows Quick Assist abused in Black Basta ransomware attacks 2024/05/15 BleepingComputer — 金銭的な動機に基づくサイバー犯罪者たちが、ソーシャル・エンジニアリング攻撃で Windows Quick Assist 機能を悪用し、被害者のネットワーク上に Black Basta ランサムウェアのペイロードを展開している。Microsoft は、遅くとも 2024年4月中旬から、このキャンペーンを調査している。同社の観察によると、脅威グループ (Storm-1811) は、さまざまな電子メール配信サービスにアドレスを登録した後に、標的に対する大量の電子メール配信を行うことで攻撃を開始する。
Microsoft rolls out passkey auth for personal Microsoft accounts 2024/05/03 BleepingComputer — Microsoft が発表したのは、Passkeys を使用する Windows ユーザーが Microsoft Consumer Account にログインできるようになったことだ。つまり、パスワードレスの方式である、Windows Hello/FIDO2/Biometric/Device PIN などにより、認証できるようになったわけである。Microsoft Consumer Account とは、Windows/Office/365/Outlook/One Drive/Copilot/Xbox Live などの、同社におけるサービスや製品にアクセスするためのパーソナル・アカウントを指す。
Windows Kernel EoP Vulnerability (CVE-2024-21345) Gets PoC Exploit Code 2024/04/27 SecurityOnline — Windows Kernel の EoP (Elevation of Privilege) に存在する、脆弱性 CVE-2024-21345 に対する PoC (proof-of-concept) エクスプロイト・コードが、セキュリティ研究者の Gabe Kirkpatrick から公開された。このエクスプロイトにより、認証された攻撃者は、SYSTEM レベルまで権限を昇格させ、影響を受けるシステムを完全に制御できるようになる。
CISA Adds Microsoft Windows Print Spooler Flaw To Its Known Exploited Vulnerabilities Catalog 2024/04/25 SecurityAffairs — 米国 の CISA (Cybersecurity and Infrastructure Security Agency) は、Microsoft Windows Print Spooler の権限昇格の脆弱性 CVE-2022-38028 を、KEV (Known Exploited Vulnerabilities) カタログに追加した。ロシアに関連する APT28 (別名:Forest Blizzard/Fancybear/Strontium) について、CISA は Microsoft からの報告を受けた。具体的な内容は、GooseEgg と名付けられた未知のツールにより、Windows Print Spooler の脆弱性 CVE-2022-38028 が悪用されたというものであり、この脆弱性が KEV カタログに追加された。
Russia-Linked Hackers Exploit Windows Zero-Day, Deploy “GooseEgg” to Hijack Networks 2024/04/22 SecurityOnline — ロシア国家が支援するハッキング・グループ “Forest Blizzard” の武器庫にある、洗練された新ツールについて、Microsoft が情報を暴露した。この GooseEgg と名付けられたツールを活用して、侵害したシステムに深くアクセスする攻撃者は、欧米の政府や戦略的組織にとって深刻な脅威をもたらしている。
PoC Exploit Released for 0-day Windows Kernel Elevation of Privilege Vulnerability (CVE-2024-21338) 2024/04/15 SecurityOnline — 国家に支援される北朝鮮のハッキンググループ Lazarus が悪用した、危険なゼロデイ脆弱性 CVE-2024-21338 の技術的詳細と概念実証 PoC エクスプロイトコードが、最近になってセキュリティ研究者たちから公開された。この脆弱性は Windows カーネル自体に存在し、攻撃者に対してシステムレベルでの制御を許し、セキュリティ・ツールの無効化も可能となる。
‘BatBadBut’ Command Injection Vulnerability Affects Multiple Programming Languages 2024/04/12 SecurityWeek — 複数のプログラミング言語から、Windows アプリケーションのコマンド・インジェクションにつながるという深刻な脆弱性について、Flatt Security のバグハンターたちが警告している。この BatBadBut と名付けられた問題は、Windows オペレーティング・システムにおいて、”CreateProcess” 関数でバッチ (bat) ファイルが実行され、”cmd exe” プロセスが生成される際に、プログラミング言語がコマンド引数を適切に回避しないことに起因する。
PoC Released for Zero-Click CVE-2023-35628 Vulnerability in Microsoft Windows 2024/04/12 SecurityOnline — Akamai の研究者である Ben Barnea が発表したのは、Microsoft Windows に存在する深刻な脆弱性 CVE-2023-35628 (CVSS:8.1) に関する、技術的詳細および PoC エクスプロイトである。この脆弱性は、特に Outlook クライアントに影響を及ぼし、Windows Explorer を介して悪用される可能性があるという。また、この脆弱性は、ユーザー操作を必要とすることなく、悪用される可能性があるため、世界中のユーザーに対して深刻な脅威をもたらす、他に類を見ない危険なものである。
Microsoft fixes two Windows zero-days exploited in malware attacks 2024/04/09 BleepingComputer — Microsoft は April 2024 Patch Tuesday において、積極的に悪用されるゼロデイ脆弱性2件を修正した。1つ目の脆弱性 CVE-2024-26234 は、プロキシ・ドライバのなりすましを許す欠陥だと説明されている。2023年12月に Sophos X-Ops により発見され、有効な Microsoft Hardware Publisher 証明書を使用して署名された悪意のドライバを追跡するために、同社の Team Lead である Christopher Budd により報告されたものだ。
CVE-2024-24576 (CVSS 10): Rust Flaw Exposes Windows Systems to Command Injection Attacks 2024/04/09 SecurityOnline — Rust Standard Library で発見された致命的な脆弱性により、Windows ベースのシステムにおいて、任意のコード実行の可能性が生じている。この脆弱性 CVE-2024-24576 が攻撃者に悪用されると、システムを不正に制御される可能性があるという。
CVE-2024-0980 Vulnerability in Okta Verify for Windows Demands Urgent Update 2024/03/28 SecurityOnline — 広く利用されている 多要素認証 (MFA) アプリ Okta Verify for Windows に、深刻な脆弱性が存在していることを、セキュリティ研究者たちが報告している。この脆弱性 CVE-2024-0980 (CVSS:7.1:High) の悪用に成功した攻撃者は、影響を受けるシステム上で、リモートから任意のコードを実行する可能性を持つ。Okta Verify は、Okta が開発した多要素認証 (MFA) アプリである。つまり、Okta にサインインするユーザーに対して本人確認を行い、ユーザーになりすました人物が、アカウントにアクセスする可能性を低減するものである。
Windows Privilege Escalation Flaw (CVE-2023-36424): Exploit Code Released, Patch Urgently Needed 2024/03/21 SecurityOnline — Windows の脆弱性 CVE-2023-36424 (CVSS:7.8) に対する技術的な詳細と PoC エクスプロイト・コードが、あるセキュリティ研究者により公開された。この脆弱性の悪用に成功した攻撃者は、Medium Integrity Level から High Integrity Level へと、自身の権限を昇格させることが可能になる。つまり、この脆弱性を悪用されると、攻撃者は侵害したマシン上で、SYSTEM レベルのアクセス権を得ることになる。
Hackers exploit Windows SmartScreen flaw to drop DarkGate malware 2024/03/14 BleepingComputer — DarkGate マルウェアによる新たな攻撃の波は、現時点では修正済みの Windows Defender SmartScreen の脆弱性を悪用し、セキュリティ・チェックを回避して、偽のソフトウェア・インストーラーを自動的にインストールするものだ。SmartScreen は Windows のセキュリティ機能であり、ユーザーがインターネットからダウンロードした不審なファイルなどの、実行が試みられる際に警告を表示する。しかし、Windows Defender SmartScreen の脆弱性 CVE-2024-21412 を悪用する、特別に細工されたダウンロード・ファイルにより、これらのセキュリティ警告の回避が可能になる。
Patch Now: Kubernetes RCE Flaw Allows Full Takeover of Windows Nodes 2024/03/14 DarkReading — 広く使用されている Kubernetes コンテナ管理システムの脆弱性により、Windows エンドポイント上の System 権限で、リモートの攻撃者からのコード実行が可能となり、Kubernetes クラスター内の全ての Windows ノードが、完全に乗っ取られる危険性が生じている。この不具合は Akamai のセキュリティ研究者 Tomer Peled が発見したものであり、CVE-2023-5528 (CVSS:7.2) として追跡されている。この脆弱性の悪用方法は、クラスタ上のポッド間でのデータ共有をサポートする Kubernetes ボリュームの操作と、ポッド・ライフサイクル外でのデータの永続的な保存にあると、3月13日に公開したブログで Tomer Peled は説明している。
CISA Warns of Active Exploitation of Windows Kernel Vulnerability 2024/03/05 SecurityOnline — CISA は、深刻度の高い Windows Kernel の脆弱性 CVE-2024-21338 を、KEV (Known Exploited Vulnerabilities Catalog) カタログに追加した。この脆弱性は、脆弱なシステムへの SYSTEM レベルの特権アクセスを得るため、攻撃者たちにより頻繁に悪用されている。
CISA Warns of Windows Streaming Service Vulnerability Exploitation 2024/03/01 SecurityWeek — 2月29日 (木) に、米国の CISA が公表したのは、Microsoft Streaming Service に存在する特権昇格の深刻な脆弱性が、野放し状態で活発に悪用されていることを受けて、Known Exploited Vulnerabilities catalog に追加したという警告である。このストリーミング・サービスは、Windows に不可欠なシステム・サービスであり、マルチメディア/ゲーム/ビデオ会議などのソフトウェア向けに、ネットワーク経由でオーディオ/ビデオのストリーミングを提供するものだ。
Microsoft unveils new ‘Sudo for Windows’ feature in Windows 11 2024/02/08 BleepingComputer — 今日、Microsoft は、Windows 11 の新機能として “Sudo for Windows” を発表した。さらに同社は、この新しいツールのオープンソース化に取り組んでおり、より多くの設定オプションと、より広範な機能を持つ代替手段として、Gerardo Grignoli の gsudo を推奨している。Microsoft は、「Sudo for Windows は、昇格前のコンソール・セッションにおいて、ユーザーがダイレクトに昇格コマンドを実行する新しい方法である」と述べている。
CVE-2024-25089: RCE Risk in Malwarebytes Binisoft Windows Firewall Control 2024/02/04 SecurityOnline — 最近のことだが、Windows ファイアウォール機能を強化するツールとして、広く使用されている Malwarebytes 傘下の Binisoft Windows Firewall Control で、2つのセキュリティ脆弱性が発見された。これらの脆弱性 CVE-2024-25089/CVE-2023-36631 は、ユーザーとシステムに深刻なリスクをもたらすものだ。
Microsoft is bringing the Linux sudo command to Windows Server 2024/02/04 BleepingComputer — Microsoft は、Linux の “sudo” 機能を Windows Server 2025 に導入し、管理者がコンソール・アプリケーションの特権を昇格させるための新たな方法を提供するという。Superuser do (sudo) は、Linux のコンソール・プログラムであり、低特権ユーザーに対して、昇格した特権 (通常は root) でのコマンド実行を許すものである。このコマンドにより、通常ではサーバを低特権アカウントで使用し、特定のコマンドを実行する場合に限り、特権への昇格を可能にするため、Linux のセキュリティを向上させている。
Malicious PyPI Packages Slip WhiteSnake InfoStealer Malware onto Windows Machines 2024/01/29 TheHackerNews — Python Package Index (PyPI) レポジトリ上で発見されたのは、WhiteSnake Stealer という情報窃取型マルウェアを、Windows システム上に配布する悪意のパッケージである。それらのマルウェアが埋め込まれたパッケージの名前は、nigpal/figflix/terer/seGMM/fbdebug/sGMM/myGens/NewGends/TestLibs111 である。そして、これらのパッケージをアップロードしているのは “WS “という脅威アクターだと、サイバーセキュリティ研究者たちは述べている。
High-Severity Vulnerability Patched in Splunk Enterprise 2024/01/23 SecurityWeek — 2024年1月22日に Splunk が発表したパッチは、Splunk Enterprise の Windows インスタンスに影響を及ぼす、深刻度の高い複数の脆弱性に対するものである。脆弱性 CVE-2024-23678 は、パス入力データの不正なサニタイズに関連する問題であり、マシン上の別のディスク・パーティションからの、信頼できないデータのデシリアライズを引き起こすと説明されている。
Phemedrone Stealer: Exploiting CVE-2023-36025 for Defense Evasion 2024/01/14 SecurityOnline — 先日の Trend Micro のサイバー・セキュリティ研究者たちの発見により、サイバー脅威の世界における懸念すべき展開が明らかになった。脆弱性 CVE-2023-36025 の積極的な悪用が確認され、Phemedrone Stealer として呼ばれる未知のマルウェアの亜種が増殖していることが判明したのだ。
Researchers Release PoC Exploit for Windows XAML Diagnostics EoP Flaw 2024/01/14 SecurityOnline — Windows XAML Diagnostics に存在する、すでにパッチが公開された深刻な脆弱性 CVE-2023-36003 に対して、PoC エクスプロイト・コードが公開された。この脆弱性は、セキュリティ研究者である Michael Maltsev が、2023年7 月に Microsoft に報告したものだ。
New Variant of DLL Search Order Hijacking Bypasses Windows 10 and 11 Protections 2024/01/01 TheHackerNews — DLL (Dynamic Link Library) の検索順序をハイジャックする、新しい亜種に関する情報が、セキュリティ研究者たちにより公開された。この手口を悪用する脅威アクターたちは、Microsoft Windows 10/11 を実行するシステム上でセキュリティをバイパスし、コード実行を可能にする。サイバーセキュリティ企業 Security Joes は、「信頼できる WinSxS フォルダに一般的に取り込まれる実行可能ファイルを、古典的な DLL 検索順序のハイジャック手法で悪用する」と、The Hacker News に共有した最新レポートで説明している。
Ransomware Attackers Abuse Multiple Windows CLFS Driver Zero-Days 2023/12/23 GarkReading — この1年半の間に攻撃者たちが悪用したものには、機密性の高いカーネル・レベルの Windows ドライバに存在する、少なくとも5つの脆弱性 (そのうちの4つはゼロデイ) がある。今週に Kaspersky Securelist が発表した一連のレポートでは、これらは単なる一握りのバグではなく、現時点における Windows Common Log File System (CLFS) の実装に関連する、より大規模で体系的な問題であると指摘されている。
Researcher to Release PoC for 0-day Windows CVE-2023-36036 Flaw 2023/12/11 SecurityOnline — Windows の SYSTEM 権限を不正に取得する、ゼロデイ脆弱性 CVE-2023-36036 (CVSS:7.8) に対する PoC エクスプロイト・コードを、研究者が公開しようとしている。ただし、この深刻度の高い特権昇格の脆弱性は、2023日11月の Patch Tuesday で修正されている。
New Flaws in Fingerprint Sensors Let Attackers Bypass Windows Hello Login 2023/11/22 TheHackerNews — Dell Inspiron 15/Lenovo ThinkPad T14/Microsoft Surface Pro X のノート PC に存在する脆弱性の悪用により、Windows Hello 認証バイパスの可能性が生じることが、新たな調査により発見された。それらの脆弱性は、ハードウェア/ソフトウェア製品のセキュリティ調査会社 Blackwing Intelligence の研究者が発見したものであり、Goodix/Synaptics/ELAN の指紋センサーが埋め込まれるデバイスの欠陥である。
Researchers Published PoC Exploit for Windows Zero-Day CVE-2023-36025 Vulnerability 2023/11/21 SecurityOnline — Microsoft がリリースしたパッチを解析し、脆弱性 CVE-2023-36025 の PoC エクスプロイトを作成した、セキュリティ研究者たちがいる。この脆弱性は、発見された後にパッチが適用されており、脅威アクターによる悪用は確認されていない。CVE-2023-36025 (CVSS:8.8) は、Windows SmartScreen コンポーネント内の高度なセキュリティ機能バイパスの脆弱性である。Microsoft のアドバイザリによると、この脆弱性の悪用に成功した攻撃者は、通常の SmartScreen チェックや関連する警告を回避し、特別に細工されたインターネット・ショートカット (.URL) や、悪意のファイルを指すハイパーリンクを、ユーザーがクリックするように仕向けるという。
CISA warns of actively exploited Windows, Sophos, and Oracle bugs 2023/11/17 BleepingComputer — 米国の CISA (Cybersecurity & Infrastructure Security Agency) は、既知の悪用脆弱性 (KEV:Known Exploited Vulnerabilities) カタログに、Microsoft/Sophos/Orale の製品に影響を及ぼす、3件の脆弱性を追加した。KEV に登録される脆弱性は、サイバー攻撃での悪用が確認されたものである。したがって、このカタログは、世界中の企業にとっても、優先的に対応すべき欠陥の保管庫として機能している。
Microsoft drops SMB1 firewall rules in new Windows 11 build 2023/11/08 BleepingComputer — Windows 11 のビルド 25992 から、新しい SMB 共有を作成する際に SMB1 の Windows Defender ファイアウォール・ルールが追加されなくなると、今日の Canary Channel Insider Preview が伝えている。Windows XP SP2 以降では、SMB 共有を作成すると、指定されたファイアウォール・プロファイルの “File and Printer Sharing” グループ内でルールが自動的に設定されていた。
StripedFly malware framework infects 1 million Windows, Linux hosts 2023/10/26 BleepingComputer — StripedFly と名付けられた洗練されたクロスプラットフォーム・マルウェアが、サイバー・セキュリティ研究者たちの検知を5年間にわたり回避し、100万台以上の Windows/Linux システムに感染しているという。2022年に Kaspersky は、この悪質なフレームワークの正体を突き止め、2017年 から活動している証拠を発見した。アナリストたちは StripedFly の特徴について、洗練された TOR ベースのトラフィック隠蔽メカニズム、および、信頼できるプラットフォームからの自動アップデート、ワームのような拡散能力、脆弱性の公開前に作成されたカスタム EternalBlue SMBv1 エクスプロイトなどを列挙し、印象的なものであると述べている。
Microsoft plans to kill off NTLM authentication in Windows 11 2023/10/13 BleepingComputer — 今週の初めに Microsoft が発表したのは、Windows 11 における NTLM 認証プロトコルを、将来的に廃止するという方針である。NTLM (New Technology LAN Manager) は、リモート・ユーザーを認証し、セッション・セキュリティを提供する、プロトコル群である。現在では、もうひとつの認証プロトコルである Kerberos が NTLM に取って代わり、Windows 2000 以降の全てのバージョンにおいて、ドメインに接続されたデバイスの、デフォルトの認証プロトコルになっている。
CISA Adds JetBrains TeamCity And Windows Flaws To Its Known Exploited Vulnerabilities Catalog 2023/10/05 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、JetBrains TeamCity に存在する脆弱性 CVE-2023-42793 (CVSS : 9.8) と、Windows の脆弱性 CVE-2023-28229 (CVSS : 7.0) を、KEV (Known Exploited Vulnerabilities Catalog) に追加した。
Microsoft is Rolling out Support for Passkeys in Windows 11 2023/09/26 TheHackerNews — 今日から Microsoft は、デスクトップ OS のメジャー・アップデートの一環として、Windows 11 で Passkeys のサポートを正式に展開する。この機能によりユーザーは、ID/PW を入力することなく、代わりにデバイスの暗証番号や生体情報を用いてステップを完了し、Web サイトやアプリケーションにログインできるようになる。FIDO 標準に基づく Passkeys は、2022年5月に初めてパスワードの代替になるものとして発表され、フィッシングに強いとされている。その後に Apple や Google に採用され、また、この数カ月の間に他のサービスでも採用されている。
Windows 11 ‘ThemeBleed’ RCE bug gets proof-of-concept exploit 2023/09/14 BleepingComputer — Windows Themes の脆弱性 CVE-2023-38146 に対する、PoC エクスプロイト・コードが公開された。このセキュリティ問題は ThemeBleed とも呼ばれ、深刻度を示す CVSS 値は 8.8 である。攻撃者により細工された悪意の “.THEME” ファイルを、ターゲット・ユーザーが開くところから悪用が始まる可能性がある。5月15日に、この脆弱性を Microsoft に報告して、報奨金 $5,000 を受け取った研究者の Gabe Kirkpatrick により、この悪用コードが公開された。一昨日の9月12日に Microsoft は、September 2023 Patch Tuesday をリリースし、この CVE-2023-38146 に対処している。
New Windows 11 feature blocks NTLM-based attacks over SMB 2023/09/13 BleepingComputer — Microsoft は Windows 11 に新しいセキュリティ機能を追加した。それにより、管理者による SMB 経由の NTLM ブロックが可能となり、pass-the-hash/NTLM relay/password-cracking 攻撃などが防御されるという。その内容は、Kerberos や NTLM (LM/NTLM/NTLMv2) とディスティネーション・サーバとの認証交渉が、Windows SPNEGO により行われていたという、従来のアプローチを変更するものだ。
Alert: New Kubernetes Vulnerabilities Enable Remote Attacks on Windows Endpoints 2023/09/13 TheHackerNews — Kubernetes で3件の深刻な脆弱性が発見され、その連鎖の危険性が指摘されている。それにより、クラスタ内の Windows エンドポイント上で、特権を昇格させたリモートコード実行に悪用されるという可能性が生じている。これらの脆弱性 CVE-2023-3676/CVE-2023-3893/CVE-2023-3955 の CVSS スコアは 8.8 であり、Windows ノードを持つ全ての Kubernetes 環境に影響を与えるという。これらの脆弱性については、2023年7月13日に Akamai から報告が行われ、2023年8月23日に修正版がリリースされた。
Microsoft will block 3rd-party printer drivers in Windows Update 2023/09/11 BleepingComputer — Microsoft が発表したのは、今後の4年間にわたる、プリンタ・ドライバ戦略の実質的かつ段階的な方向性の転換である。その一環として、Windows Update でのサードパーティ製プリンタ・ドライバの配信停止が決定された。同社は、「Windows 10 21H2 のリリースから、Windows は Microsoft IPP (Internet Printing Protocol) クラス・ドライバを介して、ネットワークと USB インターフェイス上で Mopria 準拠のプリンタ・デバイスのインボックス・サポートを提供するようになる。これにより、印刷機器メーカーは、独自のインストーラー/ドライバ/ユーティリティーなどを提供する必要がなくなる」と述べている。
Hackers stole Microsoft signing key from Windows crash dump 2023/09/06 BleepingComputer — 中国人ハッキング・グループ Storm-0558 は、Microsoft のエンジニアの企業アカウントを侵害した後に、Windows のクラッシュダンプから署名キーを盗み出し、政府機関の電子メール・アカウントに侵入していた。攻撃者は盗んだ MSA キーを使って、米国の国務省や商務省など含む、約 20の組織の Exchange Online/Azure Active Directory (AD) アカウントに侵入したとされる。Storm-0558 は、GetAccessTokenForResourceAPI のゼロデイ検証の問題を悪用し、署名されたアクセス・トークンを偽造し、標的である組織内のアカウントになりすましていた。
Microsoft reminds users Windows will disable insecure TLS soon 2023/09/03 BleepingComputer — セキュアではない Transport Layer Security (TLS) 1.0/1.1 プロトコルが、今後の Windows リリースのおいて間もなく無効になることを、Microsoft はユーザーに再告知した。TLS 通信プロトコルは、クライアント/サーバ・アプリケーションを通じて、インターネットにアクセスする際や、そこで情報を交換する際に、盗聴/改竄/メッセージ偽造からユーザを守るために作られたものである。オリジナルの TLS 1.0 仕様は 1999 年に、その後継である TLS 1.1 は 2006 年に発表されており、すでに 20年近く使用されている。
Hackers Can Exploit Windows Container Isolation Framework to Bypass Endpoint Security 3023/08/30 TheHackerNews — マルウェア検出回避テクニックを活用する脅威アクターたちが、Windows Container Isolation Framework を操作することで、エンドポイント・セキュリティ・ソリューションを回避できる可能性が、新たな調査により判明した。この調査結果は、Deep Instinct のセキュリティ研究者である Daniel Avinoam が、8月の初めに開催された DEF CON セキュリティ・カンファレンスで発表したものだ。Microsoft のコンテナ・アーキテクチャ (Windows Sandbox) は、動的に生成されるイメージと呼ばれるものを用いて、それぞれのコンテナとホストの間でファイル・システムを分離し、また、システム・ファイルの重複を回避するものだ。
New stealthy techniques let hackers gain Windows SYSTEM privileges 2023/08/23 BleepingComputer — セキュリティ研究者たちが、Windows Filtering Platform を利用して、Windows の最高権限レベルである SYSTEM にまで、ユーザー権限を昇格させるツール NoFilter をリリースした。このユーティリティは、感染させたデバイスにログインしている正規ユーザのアカウントを用いた、より高い権限での悪意のコード実行や、ネットワーク上での横方向への移動といった、攻撃者による悪用シナリオの追跡に有用なものとなる。
IoT OT Security News 