Microsoft – Page 7 – IoT OT Security News

Windows MSI Installers の脆弱性 CVE-2024-38014 が FIX：以前からの積極的な悪用とは？

Researchers Detail CVE-2024-38014 0-Day Vulnerability in Windows MSI Installers Exploited in the Wild

2024/09/18 SecurityOnline — Microsoft Windows MSI インストーラーに影響を及ぼす、ゼロデイ脆弱性 CVE-2024-38014 が発見され、パッチ未適用のバージョンが悪用されていると、SEC Consult Vulnerability Lab のセキュリティ研究者 Michael Baer は分析している。この重大な脆弱性の悪用に成功した攻撃者は、SYSTEM 権限への昇格を達成する。また、この脆弱性は、MSI インストーラーの修復機能に関係しており、最近の修正プログラムが Microsoft から公開される以前において、積極的に悪用されていたという。

CISA KEV 警告 24/09/18：Apache／Microsoft／Oracle の脆弱性を登録

CISA Warns of Actively Exploited Apache, Microsoft, and Oracle Vulnerabilities

2024/09/18 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) が、世界中の政府の機関／組織に対して警告を発している。新たに特定された、それらの５つ脆弱性は、悪意の攻撃者により積極的に悪用されているものだ。CISA の KEV カタログに追加された脆弱性は、一般的なソフトウェアに対する悪用が確認されたものであり、パッチが適用されていないシステムに深刻なリスクをもたらす。

Windows Kernel の脆弱性 CVE-2024-37985：ゼロデイとして勧告を更新

Microsoft Confirms CVE-2024-37985 as Zero-Day Bug in Windows

2024/09/17 SecurityOnline — 9月17日に Microsoft Security Response Center (MSRC) は、2024年7月9日の時点で公表された脆弱性 CVE-2024-37985 (CVSS：5.9) を、ゼロデイ脆弱性であるとしてセキュリティ勧告を更新した。この脆弱性は、Windows カーネルに存在する情報漏えいの脆弱性として分類されており、システム・セキュリティに対する重大な脅威となる可能性がある。

Windows Hyper-V のゼロデイ脆弱性 CVE-2024-38080：PoC エクスプロイトが提供

PoC Exploit Released for Windows Hyper-V Zero-Day Vulnerability CVE-2024-38080

2024/09/16 SecurityOnline — Windows Hyper-V の修正済みゼロデイ脆弱性 CVE-2024-38080 (CVSS 7.8) に関する、詳細な分析と PoC エクスプロイト・コードが、セキュリティ研究者の Pwndorei により公開された。すでに実環境での積極的な悪用が観測されている、この脆弱性は、攻撃者に SYSTEM への権限昇格を許すものであるため、Windows Hyper-V のユーザー組織にとって深刻なリスクとなる。

CISA KEV 警告 24/09/16：Windows の CVE-2024-43461 が情報窃取で悪用

CISA warns of Windows flaw used in infostealer malware attacks

2024/09/16 BleepingComputer — CISA は米国の連邦政府機関に対して、先日に修正された Windows の MSHTML スプーフィング・ゼロデイバグ CVE-2024-43461 から、システムを保護するよう命じた。このバグは、Void Banshee APTハッキング・グループにより悪用されている。この脆弱性 CVE-2024-43461 は、2024年9月の Patch Tuesday 公開されたものだが、その時点では攻撃で悪用されていないものとして、Microsoft は分類していた。しかし、Microsoft は 9月13日 (金) にアドバイザリを更新し、修正される以前から攻撃で悪用されていたことを認めた。

CrowdStrike 障害の余波：Windows カーネル連携方法の再設計を Microsoft が発表

Post-CrowdStrike Fallout: Microsoft Redesigning EDR Vendor Access to Windows Kernel

2024/09/13 SecurityWeek — Microsoft が発表した計画は、CrowdStrike のアップデートの不具合により、7月に発生した世界的な IT 障害に対応するものであり、Windows カーネルとマルウェア対策製品との連携方法を再設計するものである。現時点においては、この再設計に関する技術的な詳細は公表されていない。しかし Microsoft は、セキュリティ・ベンダーが “outside of kernel mode” を活用するための、新たなプラットフォームとしての機能を Windows 11 に搭載し、ソフトウェアの信頼性を確保する予定だとしている。

Remcos RAT のファイルレス攻撃：脆弱性 CVE-2017-0199 の悪用を日本でも観測

Fileless Remcos RAT Campaign Leverages CVE-2017-0199 Flaw

2024/09/12 SecurityOnline — 新たに発見された高度なマルウェア攻撃では、複雑なファイルレスのアプローチが用いられ、無害に見える Excel ドキュメントが攻撃ベクターとなり、Remcos RAT が配信されている。Trellix の研究者たちが分析した攻撃では、従来から痕跡とされてきた悪意のファイルを残すことなく、サイバー犯罪者が検出を回避してシステムへと侵入する戦術を、改良し続けていることが判明した。

Fortinet のデータ侵害：Fortibitch が 440GB のファイルを盗んだと主張

Fortinet confirms data breach after hacker claims to steal 440GB of files

20224/09/12 BleepingComputer — Fortinet の Microsoft Sharepoint サーバから、脅威アクターが 440GB のファイルを盗んだと主張したことを受けて、同社はデータ侵害の発生を認めた。Fortinet は、ファイアウォール／ルーター／VPN デバイスなどのセキュアなネットワーク製品を販売しており、SIEM／ネットワーク管理／EDR および XDRソリューション／コンサルティング・サービスなども提供している。

Windows のゼロデイ LNK Stomping CVE-2024-38217 が FIX：直ちにアップデートを！

LNK Stomping (CVE-2024-38217): Microsoft Patches Years-Old Zero-Day Flaw

2024/09/10 SecurityOnline — Microsoft の 2024年9月のセキュリティ更新プログラムにより、Smart App Control と SmartScreen に影響を及ぼす、ゼロデイ脆弱性 CVE-2024-38217 が対処された。この LNK stomping と命名された脆弱性は、重要なセキュリティ警告を回避する、悪意のファイルの存在を許すものであり、遅くとも2018年から悪用が確認されている。

Windows Downdate の脆弱性 CVE-2024-43491 が FIX：すでに悪用が観測されている

Microsoft Says Windows Update Zero-Day Being Exploited to Undo Security Fixes

2024/09/10 SecurityWeek — 9月10日 (火) に Microsoft は、Windows Update の深刻な脆弱性の悪用について公表し、Windows の特定のバージョンにおいて、セキュリティ修正がロールバックされていると警告した。この積極的な悪用が観測されている脆弱性 CVE-2024-43491 の、CVSS スコアは 9.8 であり、Critical と評価されている。現時点において Microsoft は、公開された悪用に関する情報や、感染の兆候の検出に有効な IOC (indicators of compromise) などのデータを公開していない。同社によると、この問題は匿名で報告されたという。

Windows のゼロデイ脆弱性 CVE-2024-30051：QakBot マルウェアの展開と PoC の公開

CVE-2024-30051: Windows Elevation of Privilege Flaw Exploited by QakBot Malware, PoC Published

2024/09/09 SecurityOnline — Windows のゼロデイ脆弱性 CVE-2024-30051 (CVSS：7.8) に対する、技術的な詳細と PoC エクスプロイト・コードが、セキュリティ研究者たちにより公開された。この深刻なな脆弱性は、Desktop Window Manager (DWM) コア・ライブラリのヒープバッファ・オーバーフローにより引き起こされる。この脆弱性の悪用に成功した攻撃者は、SYSTEM レベルの特権で任意のコードを実行し、QakBot などのペイロード展開と、マルウェア攻撃を仕掛ける可能性を手にする。

Windows Telephony の権限昇格の脆弱性 CVE-2024-26230：PoC が提供される

PoC Exploit Releases for Windows Elevation of Privilege Vulnerability CVE-2024-26230

2024/09/08 SecurityOnline — Windows Telephony サービスに存在する、パッチ適用済みの権限昇格の脆弱性 CVE-2024-26230 (CVSS：7.8) に対する、技術的な詳細と概念実証 PoC エクスプロイトを、セキュリティ研究者が公開した。この Telephony サービスの、use-after-free の脆弱性の悪用に成功した攻撃者は、影響を受けるシステム上で SYSTEM 権限を取得できるようになる。

Microsoft の Common Log File System：ハッシュベースの認証コードでセキュリティを確保

Microsoft Tackling Windows Logfile Flaws With New HMAC-Based Security Mitigation

2024/09/04 SecurityWeek — Microsoft が計画しているのは、APT やランサムウェアなどにとって、きわめて魅力的な攻撃対象領域をカバーするための取り組みの一環としての、CLFS (Common Log File System) 解析に対する新たな検証手順の追加である。これまでの５年間において、データとイベントのログ記録に使用されてきた Windows のサブシステム CLFS では、少なくとも 24件の脆弱性が記録されている。そして、Microsoft Offensive Research & Security Engineering (MORSE) チームは、一連の脆弱性に対して対処するオペレーティング・システムの緩和策を設計するよう迫られている。

Chrome の脆弱性 CVE-2024-7971 を悪用：北朝鮮由来のハッカーが FudModule Rootkit を展開

North Korean Hackers Deploy FudModule Rootkit via Chrome Zero-Day Exploit

2024/08/31 TheHackerNews — 最近になって修正された Google Chrome／Chromium ブラウザの脆弱性が、北朝鮮の攻撃者によってゼロデイとして侵害され、FudModule ルートキットを配信するキャンペーンで悪用されている。この展開が示唆するのは、この数か月にわたって継続的に活動し、Windows のゼロデイ・エクスプロイトを大量に武器化してきた、国家に支援される脅威アクターたちの状況である。

Active Directory CS の脆弱性を分解／整理する：最も危険な権限昇格に注目すべき理由は？

Breaking Down AD CS Vulnerabilities: Insights for InfoSec Professionals

2024/08/30 TheHackerNews — サイバー・セキュリティの世界では、きわめて多くの脆弱性が存在する。しかも、それらが高い確率で発見されるため、対応が追いつかないという事態にいたっている。脆弱性の中には、セキュリティ・ツール内のアラートに引き起こすものもある。しかし、ここ問題となるのは、はるかに微妙なものであっても、危険な脅威になるものもあることだ。今日は、これらの微妙な脆弱性の１つについて解説していく。この脆弱性は、おそらくあなたの環境に潜んでいて、悪用されるのを待っている。それは、Active Directory Certificate Services (AD CS) の脆弱性である。

脆弱性が増えている：2024年 H1 は前年比で 43% 増 – Forescout

Published Vulnerabilities Surge by 43%

2024/08/30 InfoSecurity — 2024年 H1 と 2023年 H1 の比較において、公開された脆弱性は 43% も増加している。また、攻撃者が狙うイニシャル・アクセス・ベクターが、VPN などのエッジ・デバイスの欠陥に集中していることが、Forescout の最新レポート “Threat H1 2024” により明らかになった。2024年前半に報告された脆弱性は合計で 23,668件となり、１日あたりの平均として、111件の新たな CVE が採番されている。

Windows Recall の削除は可能：更新プログラム KB5041865 でオプションを発見

You can remove Recall from Windows if you do not want it

2024/08/29 ghacks — いま、Microsoft は、物議を醸している AI 機能 Recall の２番目のバージョンを準備している。今回こそは上手くやれると、彼らは目論んでいる。簡単におさらいしよう。この５月に Microsoft は、新しい Copilot + PC を披露した際に、Recall についても公表した。Recall は、Copilot+ PC の主要機能であった。この機能はデフォルトで ON になっており、５秒ごとに画面全体のスクリーン・ショットを撮ってくれる。スクリーンショットを撮らないアプリは、ごく僅かである。その後にユーザーは、Recall 機能を介してコンテンツを操作できる。

Microsoft が CrowdStrike 障害を受けてサミットを開催：エンドポイント・セキュリティ企業が参加

Microsoft Convenes Endpoint Security Firms Following CrowdStrike Incident

2024/08/27 SecurityWeek — Microsoft が発表したのは、2024年9月10日にワシントン州レッドモンドの本社で、Windows Endpoint Security Ecosystem Summit を開催することだ。先月に発生した CrowdStrike のインシデントを受けるかたちで、同サミットにはエンドポイント・セキュリティ企業や政府関係者が招待され、セキュリティと回復力の向上に関する議論が行われるという。

CAPTCHA 破りを提供し続けて 16年：Greasy Opal という悪意の開発者を追跡せよ！

Greasy Opal’s CAPTCHA solver still serving cybercrime after 16 years

2024/08/23 BleepingComputer — Greasy Opal という開発者が、研究者たちに追跡されている。この開発者は、一見すると合法的なビジネスを運営しているが、CAPTCHA を大規模に解決するボット主導のツールにより、アカウント・セキュリティ・ソリューションの回避を提供することで、サイバー犯罪業界を活性化させているという。Greasy Opal は 20 年近く活動しており、顧客のターゲットやニーズの設定に基づくツールをカスタマイズしている。それらのソフトウェアは、各国の政府や多様なテクノロジー企業 (Amazon／Apple／Steam／Joomla／Facebook／WhatsApp／Vkontakte) などをターゲットにするために使用されている。

Microsoft Edge のゼロデイCVE-2024-7971 が FIX：悪用が観測される Chromium 由来の RCE　

Urgent Edge Security Update: Microsoft Patches Zero-day & RCE Vulnerabilities

2024/08/23 SecurityOnline — Microsoft Edge の緊急セキュリティ・アップデートがリリースされ、現時点で脅威アクターたちに悪用されている、深刻な脆弱性を修正した。このゼロデイ脆弱性 CVE-2024-7971 は、Chromium の V8 JavaScript エンジン内に存在し、悪意を持って作成された HTML ページを介した、リモート・コード実行を許してしまうものである。

Windows Kernel Streaming WOW Thunk の脆弱性 CVE-2024-38054：PoC が提供！

Exploit for CVE-2024-38054 Released: Elevation of Privilege Flaw in Windows Kernel Streaming WOW Thunk

2024/08/22 SecurityOnline — 先日に修正された Windows の脆弱性 CVE-2024-38054 に対する、PoC エクスプロイト・コードがセキュリティ研究者の Frost によりリリースされ、悪用の懸念が高まっている。この深刻な脆弱性は、Kernel Streaming WOW Thunk Service Driver に存在するものであり、その悪用に成功したローカル攻撃者により、ヒープバッファ・オーバーフローが引き起こされ、システム・レベルへの権限昇格にいたる可能性がある。

Microsoft の Windows Recall：10月から Insider たちにプレビュー版を提供すると発表

Microsoft to roll out Windows Recall to Insiders in October

2024/08/21 BleepingComputer — 今日の Microsoft の発表は、AI を活用する Windows Recall 機能を Copilot+ PC の Insider たちに対して、 10 月から展開するというものだ。この AI 機能により、PC 上のアクティブなウィンドウのスクリーンショットが取得され、Neural Processing Unit (NPU) と AI モデルを用いてデバイス上で分析され、その情報が SQLite データベースに追加されていく。

Microsoft Copilot Studio の脆弱性 CVE-2024-38206：深刻な情報漏洩を修正

Experts disclosed a critical information-disclosure flaw in Microsoft Copilot Studio

2024/08/21 SecurityAffairs — Microsoft の Copilot Studio に影響を及ぼす、深刻な SSRF (Server-Side Request Forgery) の脆弱性 CVE-2024-38206 (CVSS：8.5) が、研究者たちにより公表された。この脆弱性の悪用に成功した攻撃者は、機密情報への不正アクセスの機会を手にする。Microsoft のアドバイザリには、「認証された攻撃者であれば、Microsoft Copilot Studio の SSRF 保護を回避し、ネットワーク経由で機密情報を漏えいさせることが可能だ」と記されている。

CISA KEV 警告 24/08/21：Microsoft Exchange Server／Linux Kernel／Dahua IP Camera の脆弱性を登録

Microsoft, Linux, Dahua Flaws Exploited: CISA Warns

2024/08/21 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Microsoft Exchange Server／Linux Kernel／Dahua IP カメラにおける４つの脆弱性を、Known Exploited Vulnerabilities (KEV) カタログに追加した。

Microsoft Outlook のゼロ・クリック脆弱性 CVE-2024-38021：NTLM 情報漏えいが生じる恐れ

Researcher Details Microsoft Outlook Zero-Click Vulnerability (CVE-2024-38021)

2024/08/20 SecurityOnline — Morphisec の研究者たちが公開したブログは、 Microsoft Outlook の脆弱性 CVE-2024-38021 (CVSS：8.8) について詳述するものだ。この脆弱性の悪用に成功した攻撃者は、脆弱なシステム上において、リモート・コード実行を行う可能性を得るという。Microsoft Outlook が、エンタープライズ環境において広く使用されていることを考えると、この欠陥は重大な脅威となる。この脆弱性は、Outlook の以前の脆弱性 CVE-2024-21413 を思い出させるものであり、未解決の NTLM 認証情報の漏洩も残されているため、ユーザーはリスクにさらされている。

Windows のゼロデイ脆弱性 CVE-2024-38202／21302：Downdate の PoC が登場

PoC Exploit for Windows 0-Day Flaws CVE-2024-38202 and CVE-2024-21302 Released

2024/08/19 SecurityOnline — Windows の２つのゼロデイ脆弱性 CVE-2024-38202／CVE-2024-21302 の技術的詳細と PoC エクスプロイト・コードが公開された。これらの脆弱性は、SafeBreach のセキュリティ研究者である Alon Leviev が Black Hat USA 2024 で明らかにしたものであり、Windows Update の完全性を損ない、以前に修正された数千もの脆弱性が再悪用されるという可能性を引き起こす。

Windows のゼロデイ脆弱性 CVE-2024-38193：北朝鮮の Lazarus APT が悪用している

Windows Zero-Day Attack Linked to North Korea’s Lazarus APT – CVE-2024-38193

2024/08/19 SecurityWeek — 先週に Microsoft がパッチを適用したゼロデイ脆弱性だが、北朝鮮の APT グループLazarus により悪用されていると、Gen Threat Labs のセキュリティ研究者たちが指摘している。Microsoft により “actively exploited” とマークされた、この脆弱性 CVE-2024-38193 は、最新の Windows オペレーティング・システム上で、SYSTEM 権限を許可してしまうものだ。

Microsoft Apps for macOS の８件の脆弱性：ライブラリ・インジェクション攻撃を許す恐れ

Microsoft Apps for macOS Exposed to Library Injection Attacks

2024/08/19 InfoSecurity — macOS 向けの８つの Microsoft アプリケーションに、ライブラリ・インジェクション攻撃を許す脆弱性が存在することが、Cisco Talos の新たな調査により判明した。これらの脆弱性の悪用に成功した攻撃者は、アプリケーションのパーミッションを盗み出し、機密データを侵害する可能性を得るという。

Windows の深刻な脆弱性 CVE-2024-38063：GitHub 上の偽 PoC エクスプロイトに御用心

Beware of Fake PoC Exploits for 0-Click RCE CVE-2024-38063 on GitHub

2024/08/18 SecurityOnline — Windows システムに影響を及ぼす深刻な脆弱性 CVE-2024-38063 に対して、いくつかの偽の PoC エクスプロイト・コードが公開されていることを、セキュリティ研究者たちが発見している。それらの、GitHub に登場した詐欺エクスプロイトは、誤解を招くだけではなく、マルウェアを配布する手段として悪用されている。Windows 10／11／Server の脆弱性 CVE-2024-38063 は、Kunlun Lab の XiaoWei により発見されたものであり、深刻度は CVSS 値で 9.8 と評価されている。この脆弱性は、整数アンダーフローの欠陥に起因しており、それを悪用する攻撃者により、バッファ・オーバーフローが引き起こされ、任意のコード実行にいたる可能性を持つ。

Azure サインインにおける MFA の義務化：2024年10月の Phase_1 からスタート！

Microsoft Mandates MFA for All Azure Sign-Ins

2024/08/16 InfoSecurity — Microsoft の発表は、すべての Azure サインインに、多要素認証 (MFA) を義務付けるというものだ。ユーザーの選択は、Microsoft Entra を通じて提供される、複数の MFA オプションからニーズに合わせて行われる。以下は、その一例である：

Microsoft Authenticator による、プッシュ通知／生体認証／ワンタイムパスコードを使用する、モバイル・アプリからのサインイン承認。
Fast Identity Online (FIDO) 標準をサポートする、外部 USB 近距離無線通信 (NFC) などの外部セキュリティ・キーを使用する、ユーザー名／パスワードを必要としないFIDO2 セキュリティ・キーによるサインイン承認。
個人認証 (PIV : personal identity verification) および、共通アクセスカード (CAC : common access card) を用いた、フィッシングに強い証明書ベースの MFA 実施。
Microsoft Authenticator を使用する Passkeys の提供。
SMS／Voice による承認

GitHub の新たな攻撃ベクター：Google／Microsoft／AWS などのプロジェクトをクラック – Unit 42 調査

GitHub Attack Vector Cracks Open Google, Microsoft, AWS Projects

2024/08/14 DarkReading — Google／Microsoft／Amazon Web Services などが所有する、GitHub オープンソース・プロジェクトに影響を与える攻撃ベクターが、Palo Alto Networks の Unit 42 により発見された。Unit 42 の主任研究者である Yaron Avital は、グローバル企業が所有する知名度の高いオープンソース・プロジェクトに対しても、この攻撃は有効であると言う。それらのプロジェクトが侵害されると、何百万もの消費者に影響を及ぶ可能性があると、 8月13日に発表されたブログで、彼は述べている。

Windows TCP/IP 脆弱性 CVE-2024-38063：ワーム攻撃に悪用される可能性は？

Windows TCP/IP Vulnerability CVE-2024-38063: Researchers Hold Back Exploit Details Due to High Risk

2024/08/14 SecurityOnline — 先日の August Patch Tuesday で Microsoft は、Windows TCP/IP スタック内の深刻なセキュリティ脆弱性 CVE-2024-38063 (CVSS：9.8) に緊急対応した。この脆弱性は、企業環境に対する深刻な脅威として分類されており、最小限の労力で攻撃者が、リモート・コード実行を可能にするというものだ。

Windows の脆弱性 CVE-2024-38063 (CVSS 9.8) が FIX：IPv6 に影響を及ぼすゼロクリックの RCE

CVE-2024-38063 (CVSS 9.8): 0-Click RCE Affects All Windows Systems

2024/08/13 SecurityOnline — 最新の Patch Tuesday において Microsoft が明らかにしたのは、Windows TCP/IPスタックに深刻な脆弱性が存在するため、緊急の対応が必要であることだ。2024年8月に対処された 88件の脆弱性の中で、CVE-2024-38063 の深刻さは群を抜き、世界中のネットワークに対する潜在的な影響力を示している。

Windows SmartScreen バイパスの脆弱性 CVE-2024-38213：３月の攻撃でゼロデイとして悪用

New Windows SmartScreen bypass exploited as zero-day since March

2024/08/13 BleepingComputer — 今日になって Microsoft が明らかにしたのは、SmartScreen 保護をバイパスするゼロデイとして攻撃者に悪用された、Mark of the Web セキュリティ・バイパスの脆弱性が、2024日6月の Patch Tuesday で修正されたことだ。Windows 8で導入されたセキュリティ機能 SmartScreen は、Mark of the Web (MotW) ラベルの付いたダウンロード・ファイルを開く際に、悪意の可能性のあるソフトウェアからユーザーを保護するものだ。

Microsoft 2024-08 月例アップデート：６件のエクスプロイトを含む９件のゼロデイ脆弱性に対応

Microsoft August 2024 Patch Tuesday fixes 9 zero-days, 6 exploited

2024/08/13 BleepingComputer — 今日は Microsoft の August 2024 Patch Tuesday であり、89件の欠脆弱性に対するセキュリティ・アップデートが提供されたが、その中には積極的に悪用されている６件の欠陥と、３件のゼロデイが含まれている。また、Microsoft は、もう１件のゼロデイに対する更新プログラムを作成中だという。今月の Patch Tuesday では、特権の昇格／リモート・コード実行などの、８件の Critical な脆弱性が修正された。

Microsoft Office のゼロデイ脆弱性 CVE-2024-38200：８月の月例パッチまでの対策は？

CVE-2024-38200: Zero-Day Vulnerability in Microsoft Office: A Call for Urgent Action

2024/08/11 SecurityOnline — 8月8日に公表されたアドバイザリで Microsoft は、同社の Office ソフトウェア・スイートの複数のバージョンに影響を及ぼす、深刻度の高いゼロデイ脆弱性を公表した。その脆弱性 CVE-2024-38200 (CVSS：7.5) の悪用に成功した攻撃者は、NTLM ハッシュなどの機密情報への不正アクセスを達成し、ネットワーク全体を侵害する可能性を手にする。

CrowdStrike への法的圧力の高まり：賠償責任への道が開かれる可能性は？

CrowdStrike’s Legal Pressures Mount, Could Blaze Path to Liability

2024/08/09 DarkReading — CrowdStrike のアップデートの失敗により、さまざまなビジネスが妨げられ、人々の旅行の計画が混乱し、フランスとイギリスでは放送局がオフラインになった。したがって、このインシデントには、ソフトウェアの責任という、別の目的地へとつながる可能性もある。

Falcon Sensor のバグは悪用が可能：それを否定する CrowdStrike の主張とは？

CrowdStrike Dismisses Claims of Exploitability in Falcon Sensor Bug

2024/08/08 SecurityWeek — CrowdStrikeは、何百万台ものWindows コンピュータを BSOD にした Falcon EDR センサーのバグについて、特権の昇格やリモートコード実行に悪用される可能性があるという、中国のセキュリティ調査会社の主張を否定している。Qihoo 360 が公開した技術文書 (翻訳を参照) によると、BSOD ループの直接の原因は、オペコード検証中のメモリ破損の問題であり、潜在的なローカル特権の昇格やリモートコード実行攻撃にドアを開いているとされる。

Windows のゼロデイ脆弱性 CVE-2024-21302／38202：修正済みパッチが無効化される？

CVE-2024-21302, CVE-2024-38202: Zero-Day Vulnerabilities Expose Windows Systems to “Unpatching” Attacks

2024/08/07 SecurityOnline — Windows システム上の更新済みのパッチを逆利用し、以前に修正されたセキュリティ欠陥を再び引き起こす可能性のある、２つのゼロデイ脆弱性 CVE-2024-21302／CVE-2024-38202 が、SafeBreach のセキュリティ研究者 Alon Leviev により、Black Hat 2024 で発表された。

Microsoft 365 フィッシング対策のバイパス：HTML メールの CSS 操作でアラートを隠す

Microsoft 365 anti-phishing feature can be bypassed with CSS

2024/08/07 BleepingComputer — 研究者は、Microsoft 365 (旧 Office 365) のフィッシング対策を回避する方法が実証され、悪意のメールをユーザーが開封するリスクが高いことが判明した。具体的に言うと、”First Contact Safety Tip” という、見慣れないアドレスからのメッセージを受信した際に、Outlook のメール受信者に警告を出すフィッシング対策が隠されてしまうのだ。この欠陥を発見した Certitude のアナリストが、Microsoft に調査結果を報告したが、現時点では対処しないことが、同社により決定されている。

Microsoft の Security First：すべてにおいてセキュリティが優先する方針を明示

Security First: Microsoft Overhauls Corporate Policy After Years of Criticism

2024/08/07 SecurityOnline — テクノロジー大手の Microsoft だが、サイバー・セキュリティを最優先事項として位置づける方向へと、その企業方針を大幅に変更する。それにより、役職に関係なく、すべての従業員が日常業務において、データ保護を優先しなければならなくなった。Microsoft の Chief People Officer である Kathleen Hogan が発表した社内覚書には、「Microsoft の社員は全員、セキュリティを最優先事項とする。トレードオフに直面したとき、答えは明確でシンプルである。すべてにおいて、セキュリティが優先する」と、新戦略の概要が示されている。この決定は、Microsoft 製品の脆弱性に対する、長年にわたる批判に対処するものである。

CrowdStrike 障害で $500M の損害を主張するデルタ航空：Microsoft が反撃

Microsoft Hits Back at Delta After the Airline Said Last Month’s Tech Outage Cost It $500 Million

2024/08/06 SecurityWeek — Microsoft と CrowdStrike は共に、先月の技術障害で数千便の欠航を招いたと主張する、デルタ航空に対して応戦している。Microsoft の弁護士は、デルタ航空の主要な IT システムは、Microsoft Windows ではなく、他のテクノロジー企業がサービスを提供しているのだろうと述べている。

CrowdStrike 障害：Falcon の BSOD クラッシュ分析のレポートが公開

CrowdStrike Releases Root Cause Analysis of Falcon Sensor BSOD Crash

2024/08/06 SecurityWeek — 窮地に立たされている CrowdStrike が、8月6日に発表したのは、この7月に世界中の Windows システムを麻痺させたソフトウェア・アップデートのクラッシュに関する、原因分析レポート (External Technical Root Cause Analysis) である。そこで同社は、このインシデントの原因は、セキュリティの脆弱性とプロセスのギャップが重なったことだと説明している。

CISA KEV 警告 24/08/05：Microsoft の脆弱性 CVE-2018-0824 を登録

CISA adds Microsoft COM for Windows bug to its Known Exploited Vulnerabilities catalog

2024/08/06 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Microsoft COM for Windows の信頼できないデータのデシリアライズの脆弱性 CVE-2018-0824 (CVSS：7.5) を、Known Exploited Vulnerabilities (KEV) カタログに追加した。

Crowdstrike 障害：デルタ航空は障害解決のための無償支援を拒否していた？

Crowdstrike: Delta Air Lines refused free help to resolve IT outage

2024/08/05 BleepingComputer — デルタ航空と CrowdStrike の法廷闘争が過熱している。CrowdStrike は、デルタ航空の長時間の IT 機能停止の原因は、災害復旧対策の不備にあると述べている。CrowdStrike の具体的な主張は、Windows デバイスを復旧させるための無償のオンサイト支援を、デルタ航空は拒否したというものだ。

Windows の Smart App Control と SmartScreen の欠陥：研究者たちが指摘する回避方法とは？

Researchers Uncover Flaws in Windows Smart App Control and SmartScreen

2024/08/05 TheHackerNews — Microsoft の Windows Smart App Control と SmartScreen に設計上の弱点があること、サイバー・セキュリティ研究者たちが明らかにした。Microsoft が Windows 11 で導入した Smart App Control (SAC) は、クラウド・パワーのセキュリティ機能であり、悪意のある、信頼できない、また、潜在的に望ましくないアプリが、システム上で実行されるのをブロックするものだ。また、このサービスにより、アプリについて推測が不可能な場合には、そのアプリの署名の有無や、署名の有効性についてチェックし、実行できるようにする。

Windows の深刻な脆弱性 “Leaked Wallpaper” CVE-2024-38100：PoC が提供された

CVE-2024-38100: Leaked Wallpaper Exploit Exposes Windows Users to Privilege Escalation Attacks

2024/08/04 SecurityOnline — Microsoft が最新のセキュリティ情報で公表したのは、Windows のファイル・エクスプローラーにおける、深刻な脆弱性を CVE-2024-38100 (CVSS：7.8) の情報である。この脆弱性は、Semperis の Andrea Pierini により発見され、研究者 Michael Zhmaylo により “Leaked Wallpaper” と名付けられた。この特権昇格の脆弱性の悪用に成功した攻撃者は、たとえ低特権アカウントからであっても、管理者権限の取得を達成する。また、どのセッションからでも、他のユーザーの NetNTLM ハッシュの漏洩を可能にする。

2024/07/30 SecurityAffairs — 米国の CISA は、VMware ESXi に存在する認証バイパスの脆弱性 CVE-2024-37085 (CVSS：6.8) を、KEV (Known Exploited Vulnerabilities) カタログに追加した。その一方で、7月29日に Microsoft が公表したのは、先日にパッチ適用された VMware ESXi の脆弱性 CVE-2024-37085 を、複数のランサムウェア・グループが悪用しているという警告である。