CISA KEB 警告 23/01/10:Microsoft Exchange の脆弱性 CVE-2022-41080 などを追加

CISA orders agencies to patch Exchange bug abused by ransomware gang

2023/01/10 BleepingComputer — 今日に、米国の CISA (Cybersecurity and Infrastructure Security Agency)  は、Known Exploited Vulnerabilities (KEV) カタログに、2つのセキュリティ脆弱性を追加した。1つ目は、Microsoft Exchange の権限昇格の脆弱性 CVE-2022-41080 であり、別の脆弱性 ProxyNotShell CVE-2022-41082 と連鎖してリモート・コードが実行される可能性がある。先週に、テキサス州に拠点を置くクラウド・コンピューティング・プロバイダーである Rackspace は、Play ランサムウェアが CVE-2022-41082 をゼロデイとして悪用し、Microsoft の ProxyNotShell URL 書き換え緩和策をバイパスして、感染させた Exchange Server 内で権限昇格を行ったことが確認されている。

Continue reading “CISA KEB 警告 23/01/10:Microsoft Exchange の脆弱性 CVE-2022-41080 などを追加”

Microsoft と Rackspace:Exchange の ProxyNotShell 緩和策回避を巡って衝突?

Rackspace: Ransomware Attack Bypassed ProxyNotShell Mitigations

2023/01/05 DarkReading — マネージド・クラウド・ホスティングを提供する Rackspace Technology は、12月2日に発生した大規模なランサムウェア攻撃により、中小企業の顧客数千社のメール・サービスに障害が発生したことを発表した。その要因は、Microsoft Exchange Server におけるサーバー・サイド・リクエスト・フォージェリ (SSRF) の脆弱性 CVE-2022-41080 を悪用するゼロデイ攻撃にあるという。

Continue reading “Microsoft と Rackspace:Exchange の ProxyNotShell 緩和策回避を巡って衝突?”

Exchange Server の脆弱性 ProxyNotShell:60,000 台以上のサーバがパッチ未適用

Over 60,000 Exchange servers vulnerable to ProxyNotShell attacks

2023/01/03 BleepingComputer — オンラインに晒されてされている 60,000 台以上の Microsoft Exchange Server において、ProxyNotShell の1つであるリモート・コード実行 (RCE) の脆弱性 CVE-2022-41082 への、パッチが適用されていないことが判明した。インターネット・セキュリティの向上を目指す、非営利団体 Shadowserver Foundation のセキュリティ研究者たちの最新ツイートによると、バージョン情報 (サーバの x_owa_version ヘッダ) の追跡により、約 70,000 台の Microsoft Exchange Server が、ProxyNotShell 攻撃に対して脆弱であることが判明した。

Continue reading “Exchange Server の脆弱性 ProxyNotShell:60,000 台以上のサーバがパッチ未適用”

FIN7 ハッキング・グループの正体:Exchange を SQL インジェクションで自動攻撃

FIN7 hackers create auto-attack platform to breach Exchange servers

2022/12/22 BleepingComputer — ハッキング・グループ FIN7 は、Microsoft Exchange に存在する SQL インジェクションの脆弱性を悪用した自動攻撃システムにより、企業ネットワークに侵入してデータを盗み出し、財務規模に基づいてランサムウェア攻撃のターゲットを選定している。この自動攻撃システムは、数年前から FIN7 の活動を注意深く監視してきた、Prodaft の脅威インテリジェンス・チームにより発見されたものだ。

Continue reading “FIN7 ハッキング・グループの正体:Exchange を SQL インジェクションで自動攻撃”

Exchange Server を攻撃する Play ランサムウェア:ProxyNotShell の緩和策をバイパス

Play ransomware attacks use a new exploit to bypass ProxyNotShell mitigations on Exchange servers

2022/12/21 SecurityAffairs — Crowdstrike によると、Play ランサムウェアの運営者は OWASSRF と呼ばれる新しいエクスプロイト・チェーンを用いて、ProxyNotShell 脆弱性に対する緩和策をバイパスすることで、Microsoft Exchange サーバをターゲットにしているようだ。この脆弱性の悪用に成功した認証済の攻撃者は、Exchange Server 2013/2016/2019 で権限を昇格を行い、そのシステムのコンテキストで PowerShell を実行し、脆弱なサーバ上で任意コード実行またはリモートコード実行の可能性を生じるという。

Continue reading “Exchange Server を攻撃する Play ランサムウェア:ProxyNotShell の緩和策をバイパス”

FBI/CISA/HHS 共同警告:ランサムウェア Hive の被害額が約 $100M に到達

Hive Ransomware Has Made $100m to Date

2022/11/18 InfoSecurity — 昨日に FBI/CISA/HHS (Health and Human Services) が発表した共同警告によると、ランサムウェア亜種 Hive は、これまでに 1,300以上のグローバル企業から約 $100 million の利益を得ているという。この推定利益は、2021年6月に Hive が発見されてから、約15カ月の間に発生したものだ。被害組織は、政府/通信/主要な製造業/IT企業 など多岐にわたるが、特に医療機関へ攻撃が集中しているようだ。

Continue reading “FBI/CISA/HHS 共同警告:ランサムウェア Hive の被害額が約 $100M に到達”

Exchange Server の深刻な脆弱性 ProxyNotShell:PoC エクスプロイトが公表

Exploit released for actively abused ProxyNotShell Exchange bug

2022/11/18 BleepingComputer — Microsoft Exchange に存在し、ProxyNotShellと総称される2つの深刻な脆弱性に対して、PoC エクスプロイト・コードが公開された。この2つの脆弱性 CVE-2022-41082/CVE-2022-41040 は、Microsoft Exchange Server 2013/2016/2019 に影響を及ぼし、権限を昇格した攻撃者がシステムのコンテキストで PowerShell を実行することで、侵害したサーバー上で任意のコード実行またはリモート・コード実行が可能なるというものだ。

Continue reading “Exchange Server の深刻な脆弱性 ProxyNotShell:PoC エクスプロイトが公表”

Dropbox API を悪用する Worok:PNG に埋め込んだマルウェアでバックドアを展開

Worok Hackers Abuse Dropbox API to Exfiltrate Data via Backdoor Hidden in Images

2022/11/14 TheHackerNews — 最近に発見された Worokと呼ばれるサイバー・スパイ・グループは、無害に見える画像ファイルにマルウェアを隠していることが判明し、脅威アクターによる感染連鎖の重要なリンクになっていることが裏付けられた。 チェコのサイバー・セキュリティ企業である Avast は、この PNG ファイルの目的は、情報の窃盗を容易にするペイロードを隠すことだと述べている。同社は、「注目すべきは、Dropbox のリポジトリを使用する被害者のマシンからデータを収集し、最終段階での通信に Dropbox API を使用する攻撃者である」と述べている。

Continue reading “Dropbox API を悪用する Worok:PNG に埋め込んだマルウェアでバックドアを展開”

Microsoft Exchange のゼロデイ ProxyNotShell が FIX:2013/2016/2019 に影響

Microsoft fixes ProxyNotShell Exchange zero-days exploited in attacks

2022/11/08 BleepingComputer — Microsoft Exchange に存在し、野放し状態で悪用されている、ProxyNotShell と名付けられた2つのゼロデイ脆弱性に対して、セキュリティ更新プログラムがリリースされた。2022年9月以降において、この2つのセキュリティ欠陥を連鎖させた攻撃者は、侵害したサーバ上に Chinese Chopper Web シェルを展開し、永続性を確保しながら被害者のネットワーク内で横方向へと移動することで、データを窃取してきたと思われる。

Continue reading “Microsoft Exchange のゼロデイ ProxyNotShell が FIX:2013/2016/2019 に影響”

Microsoft の 2022 Digital Defense Report:ゼロデイ脆弱性を悪用する攻撃が急増している

Microsoft Warns of Uptick in Hackers Leveraging Publicly-Disclosed 0-Day Vulnerabilities

2022/11/05 TheHackerNews — Microsoft が警告するのは、公表されたゼロデイ脆弱性を国家や犯罪者が利用し、標的の環境を侵害するケースが増加していることだ。Microsoft は、114 ページにも及ぶ Digital Defense Report の中で、「脆弱性の発表から、その脆弱性が商品化されるまでの時間が、明らかに短縮されている」と述べている。したがって、ユーザー組織にとっては、このような脆弱性にタイムリーにパッチを当てることが不可欠であると指摘している。

Continue reading “Microsoft の 2022 Digital Defense Report:ゼロデイ脆弱性を悪用する攻撃が急増している”

Black Basta ランサムウェアの新戦術:Qakbot 経由でネットワークに侵入して Brute Ratel C4 を展開

Black Basta Ransomware Hackers Infiltrate Networks via Qakbot to Deploy Brute Ratel C4

2022/10/17 TheHackerNews — Black Basta ランサムウェア・ファミリーの背後にいる脅威アクターは、 Qakbotトロイの木馬を用いる最近の攻撃において、第2段階のペイロードとして Brute Ratel C4フレームワークを展開していることが確認された。Trend Micro は、先週に発表した技術分析で、最新の敵対的シミュレーション・ソフトウェア Brute Ratel C4 が、Qakbot 感染を通じて配信される初めてのケースだと述べている。この侵入は、兵器化された ZIP アーカイブ・リンクを含むフィッシング・メールを介して達成され、横方向への移動には Cobalt Strike が使用されている。

Continue reading “Black Basta ランサムウェアの新戦術:Qakbot 経由でネットワークに侵入して Brute Ratel C4 を展開”

Microsoft Exchange の新たな別のゼロデイ:悪用により LockBit ランサムウェアを配布?

Microsoft Exchange servers hacked to deploy LockBit ransomware

2022/10/11 BleepingComputer — Microsoft が進めている調査は、Exchange Server の新たなゼロデイ脆弱性がハッキングに悪用され、その後にランサムウェア Lockbit 攻撃の起動に使用されたという報告に対するものだ。2022年7月に発生した、少なくとも1件のインシデントでは、事前に Exchange Server に配置していた WebShell を用いて、侵入に成功した攻撃者が Active Directory 管理者への権限昇格を実行し、約 1.3TB のデータを窃取し、ネットワーク・システムの暗号化を行ったとされている。

Continue reading “Microsoft Exchange の新たな別のゼロデイ:悪用により LockBit ランサムウェアを配布?”

Microsoft Exchange のゼロデイ脆弱性:ProxyNotShell に対する緩和策の更新

Microsoft updates mitigation for ProxyNotShell Exchange zero days

2022/10/05 BleepingComputer — Microsoft は、ProxyNotShell と呼ばれ、CVE-2022-41040/CVE-2022-41082 として追跡される、最新の Exchange ゼロデイ脆弱性に対する緩和策を更新した。最初の推奨事項に関しては、2 つのバグを悪用する新しい攻撃方法が研究者たちが示し、容易な回避策を提示したことで、不十分さが証明されている。

Continue reading “Microsoft Exchange のゼロデイ脆弱性:ProxyNotShell に対する緩和策の更新”

Microsoft Exchange のゼロデイ脆弱性:ProxyNotShell の偽 PoC が販売されている

Fake Microsoft Exchange ProxyNotShell exploits for sale on GitHub

2022/10/03 BleepingComputer — 詐欺師たちがセキュリティ研究者になりすまし、新たに発見された Microsoft Exchange のゼロデイ脆弱性に対する、偽の PoC エクスプロイト ProxyNotShell を販売しているようだ。先週に、ベトナムのサイバー・セキュリティ企業 GTSC は、Microsoft Exchange の2つの新しいゼロデイ脆弱性を悪用した攻撃を、一部のユーザーが受けていたことを明らかにした。研究者たちは、Trend Micro の Zero Day Initiative と共同で、この脆弱性を Microsoft に対して非公開で報告した。Microsoft は、この脆弱性が攻撃に悪用されていることを確認し、セキュリティ更新プログラムをリリースするスケジュールを早めるとしている。

Continue reading “Microsoft Exchange のゼロデイ脆弱性:ProxyNotShell の偽 PoC が販売されている”

CISA KEV 警告 22/09/30:Microsoft Exchange と Atlassian Bitbucket のゼロデイを追加

CISA: Hackers exploit critical Bitbucket Server flaw in attacks

2022/09/30 BleepingComputer — Cybersecurity and Infrastructure Security Agency (CISA) は、攻撃で悪用されたバグのリストに、Atlassian Bitbucket Server の RCE 脆弱性と、Microsoft Exchange のゼロデイ脆弱性の2件を含む、合計で3件のセキュリティ欠陥を追加したことを発表した。Microsoft によると、CISA の KEV (Known Exploited Vulnerabilities) カタログに追加されたのは、限定的な標的型攻撃で悪用された Microsoft Exchangeの ゼロデイ脆弱性 CVE-2022-41040/CVE-2022-41082 の2件となる。

Continue reading “CISA KEV 警告 22/09/30:Microsoft Exchange と Atlassian Bitbucket のゼロデイを追加”

Microsoft Exchange に2つの深刻なゼロデイ脆弱性:積極的な悪用を検出

WARNING: New Unpatched Microsoft Exchange Zero-Day Under Active Exploitation

2022/09/30 TheHackerNews — セキュリティ研究者たちは、すべてのパッチが適用されているはずの Microsoft Exchange Server において、これまで公表されていなかった脆弱性が驚異アクターに悪用され、それにより侵害されたシステム上で、リモートコード実行を実現することを警告している。ベトナムのサイバー・セキュリティ企業である GTSC は、2022年8月に実施したセキュリティ監視とインシデント対応のアクティビティ一環として、この欠点を発見した。

Continue reading “Microsoft Exchange に2つの深刻なゼロデイ脆弱性:積極的な悪用を検出”

Microsoft 警告:IIS エクステンションを悪用する Exchange バックドアが増えている

Microsoft: IIS extensions increasingly used as Exchange backdoors

2022/07/26 BleepingComputer — Microsoft によると、IIS Web サーバーを狙う悪意のエクステンションは、Web シェルと比較して検出率が低いため、パッチの適用されていない Exchange サーバーをバックドアにしようとする攻撃者にとって、格好の標的になりつつあるようだ。これらの悪意のエクステンションは、侵害されたサーバーの奥深くに隠されており、多くの場合において、正規のモジュールと同じ場所にインストールされ、同じ構造を使用している。したがって、検出が非常に難しく、攻撃者に対して完全な永続化メカニズムを提供してしまう。

Continue reading “Microsoft 警告:IIS エクステンションを悪用する Exchange バックドアが増えている”

Microsoft 警告:Exchange Server のハッキングにより BlackCat ランサムウェアが広まっている

Microsoft: Exchange servers hacked to deploy BlackCat ransomware

2022/06/13 BleepingComputer — Microsoft によると、BlackCat ランサムウェアのアフィリエイトが、未パッチの脆弱性を狙うエクスプロイトを用いて、Microsoft Exchange サーバーを攻撃しているとのことだ。Microsoft のセキュリティ専門家が観察した1つの事例では、攻撃者は被害者のネットワークをゆっくりと移動し、認証情報を盗んで情報を流出させ、二重の恐喝に利用しているようだ。最初の侵害から2週間後に、この脅威者は、パッチの適用されていない Exchange サーバーを侵入経路とし、PsExec を介してネットワーク全体に BlackCat ランサムウェアのペイロードを展開させた。

Continue reading “Microsoft 警告:Exchange Server のハッキングにより BlackCat ランサムウェアが広まっている”

Microsoft 警告:クラウドなどを標的としたパスワード・スプレー攻撃が増加

Microsoft warns of rise in password sprays targeting cloud accounts

2021/10/31 BleepingComputer — Microsoft の DART (Detection and Response Team) によると、クラウドの特権アカウントやCレベル役員などを標的とした、パスワード・スプレー攻撃の増加を検出したとのことだ。パスワード・スプレーとは、ブルートフォース攻撃の一種であり、よく使われる少数のパスワードを使って、大量のアカウント・リストへのアクセスを試みるものだ。

Continue reading “Microsoft 警告:クラウドなどを標的としたパスワード・スプレー攻撃が増加”

中国の Tianfu ハッキングコンテスト:Windows 10/Linux/iOS などが陥落

Windows 10, Linux, iOS, Chrome and Many Others at Hacked Tianfu Cup 2021

2021/10/17 TheHackerNews — 中国の成都市で開催された、国際的なサイバーセキュリティ・コンテストの第4回大会 Tianfu Cup 2021 において、これまでにないオリジナルのエクスプロイトが使用され、Windows 10/iOS 15/Google Chrome/Apple Safari/Microsoft Exchange Server/Ubuntu 20 などへの侵入に成功した。

Continue reading “中国の Tianfu ハッキングコンテスト:Windows 10/Linux/iOS などが陥落”

Microsoft Exchange の脆弱性 ProxyToken によりメールがハックされる

Microsoft Exchange ProxyToken bug can let hackers steal user email

2021/08/30 BleepingComputer — Microsoft Exchange Server の深刻な脆弱性 ProxyToken について、技術的な詳細が明らかになった。この脆弱性は、標的となるアカウントからメールにアクセスする際に、認証を必要としないというものだ。攻撃者は、Exchange Control Panel (ECP) アプリケーション内の、Web サービスへ向けたリクエストを細工することで、この脆弱性を悪用し、被害者の受信箱からメッセージを盗み出す。

Continue reading “Microsoft Exchange の脆弱性 ProxyToken によりメールがハックされる”

米国と同盟国が Microsoft Exchange 攻撃に関して正式に中国を非難

US and allies officially accuse China of Microsoft Exchange attacks

2021/07/19 BleepingComputer — 米国および、欧州連合、英国、NATO などの同盟国は、今年の広範囲にわたるMicrosoft Exchange ハッキング・キャンペーンについて、中国を公式に非難している。2021年の初頭に生じた、このサイバー攻撃は、世界中の数万の組織に展開された 25万台以上の Microsoft Exchange サーバーを標的としていた。

Continue reading “米国と同盟国が Microsoft Exchange 攻撃に関して正式に中国を非難”

Microsoft の 5月アップデートには 55 件の脆弱性と 3 件のゼロデイが

Microsoft May 2021 Patch Tuesday fixes 55 flaws, 3 zero-days

2021/05/11 BleepingComputer — 5月12日に Microsoft は Patch Tuesday を公開した。ここには 3つのゼロデイ脆弱性が含まれているため、Windows 管理者は早急にアップデート・プログラムを適用すべきである。 このアップデートで、Microsoft は 55件の脆弱性を修正しているが、そのうちの 4件を Critical に、50件を Important に、1件を Moderate に分類している。

Continue reading “Microsoft の 5月アップデートには 55 件の脆弱性と 3 件のゼロデイが”

ロシアン・ハッカーたちが悪用する脆弱性 Top-12 とは?

Top 12 Security Flaws Russian Spy Hackers Are Exploiting in the Wild

2021/05/08 TheHackerNews — 英国と米国の情報機関が、5月7日に共同で発表した勧告によると、ロシアの Foreign Intelligence Service (SVR) と密接に関連するサイバー工作員たちは、これまでに公開された脆弱性に対応するかたちで、その戦術を変更しているようだ。

Continue reading “ロシアン・ハッカーたちが悪用する脆弱性 Top-12 とは?”

Microsoft 4月のパッチは 108 の脆弱性と 5 のゼロデイに対応

Microsoft April 2021 Patch Tuesday fixes 108 flaws, 5 zero-days

2021/04/13 BleepingComputer — 2021年4月の Microsoft Patch Tuesday では、5つのゼロデイ脆弱性と、Microsoft Exchange のクリティカルな脆弱性が登場している。Windows と Exchange の管理者にとって、この数ヶ月は厳しい状況が続いているが、4月も楽になりそうもない。

Continue reading “Microsoft 4月のパッチは 108 の脆弱性と 5 のゼロデイに対応”

NSA が発見した Exchange Server のクリティカルな脆弱性

NSA discovers critical Exchange Server vulnerabilities, patch now

2021/04/13 BleepingComputer — Microsoft は 4月13日に、Exchange Server に関するセキュリティ・アップデートを公開した。このアップデートは、深刻度が Important から Critical までの、4つの脆弱性に対応している。これらの脆弱性は、いずれも脆弱なマシン上でリモート・コードが実行されるものであり、U.S. National Security Agency (NSA) および Microsoft により発見されたものである。

Continue reading “NSA が発見した Exchange Server のクリティカルな脆弱性”

Windows 10 と Exchange と Teams が Pwn2Own でハックされてしまった

Microsoft’s Windows 10, Exchange, and Teams hacked at Pwn2Own

2021/04/07 BleepingComputer — Pwn2Own 2021 の初日のこと、Microsoft Windows 10、Exchange Mail Server、Teams Communication Platform に挑むコンテストの参加者たちは、まだ知られていない脆弱性を利用してハッキングに成功し、総額で $440,000 の賞金をせしめた。最初に陥落したのは、Server カテゴリの Microsoft Exchange である。

Continue reading “Windows 10 と Exchange と Teams が Pwn2Own でハックされてしまった”

EC と EU の政府機関を狙うサイバー攻撃とは

European Commission, other EU orgs recently hit by cyber-attack

2021/04/06 BleepingComputer — European Commission (EC) の報道官によると、European Union (EU) における複数の組織が、この 3月にサイバー攻撃を受けたという。この IT セキュリティ・インシデントは、EU における複数の機関・団体・組織の IT インフラに影響を与えている。

Continue reading “EC と EU の政府機関を狙うサイバー攻撃とは”