Windows Server と NTLM リレー攻撃:脆弱性 ShadowCoerce は密かに修正されたのか?

Microsoft quietly fixes ShadowCoerce Windows NTLM Relay bug

2022/07/05 BleepingComputer — Microsoft は、May 2022 Update において、Windows サーバを標的とした NTLM リレー攻撃を可能にする脆弱性 ShadowCoerce を修正した。この NTLM リレー攻撃は、パッチ未適用のサーバを、自身の支配下にあるサーバに対して強制的に認証させることで、Windows ドメインを乗っ取るというものだ。この問題は非公開であるが、BleepingComputer が Microsoft の広報担当者に確認したところ、「MS-FSRVP coercion abuse PoC (ShadowCoerce) は、同じコンポーネントに影響を与える、脆弱性 CVE-2022-30154 への対策で緩和された」とのことだ。

Continue reading “Windows Server と NTLM リレー攻撃:脆弱性 ShadowCoerce は密かに修正されたのか?”

Google の 2022年ゼロデイ分析:古い脆弱性の派生系が 50% を占める

Google: Half of 2022’s Zero-Days Are Variants of Previous Vulnerabilities

2022/07/01 SecurityWeek — Google Project Zeroは、2022年前半に悪用された、合計 18件のゼロデイ脆弱性を観測しており、そのうちの少なくとも半分は、以前のバグが適切に対処されていなかったことに起因していると述べている。Google Project Zero の研究者である Maddie Stone によると、今年に入ってから確認された、野放し状態だったゼロデイ脆弱性のうち9件は、組織がより包括的なパッチを適用していれば防ぐことができた可能性があるという。

Continue reading “Google の 2022年ゼロデイ分析:古い脆弱性の派生系が 50% を占める”

DFSCoerce という新たな NTLM リレー攻撃:PetitPotam にように Windows ドメインを乗っ取る?

New NTLM Relay Attack Lets Attackers Take Control Over Windows Domain

2022/06/21 TheHackerNews — DFSCoerce と呼ばれる、新しい種類の Windows NTLM リレー攻撃が発見された。この攻撃では、ドメインの制御を掌握するために、Distributed File System (DFS): Namespace Management Protocol (MS-DFSNM) が悪用されていることが判明した。

Continue reading “DFSCoerce という新たな NTLM リレー攻撃:PetitPotam にように Windows ドメインを乗っ取る?”

CISA 警告:Patch Tuesday 5月を Windows Server AD DC に適用しないで欲しい

CISA warns not to install May Windows updates on domain controllers

2022/05/16 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、May 2022 Patch Tuesday の更新プログラムが引き起こす Active Directory (AD) 認証の問題を考慮し、この Windows セキュリティ不具合を、KEV (Known Exploited Vulnerabilities) カタログから一時的に削除した。

Continue reading “CISA 警告:Patch Tuesday 5月を Windows Server AD DC に適用しないで欲しい”

Microsoft を悩ます PetitPotam Windows NTLM リレー攻撃:完全な FIX には時間が必要?

Microsoft fixes new PetitPotam Windows NTLM Relay attack vector

2022/05/14 BleepingComputer — Windows NTLM Relay Attack に関連する先日のセキュリティ更新プログラムは、これまで未修正であった PetitPotam 攻撃ベクターに対するものだと確認されている。May 2022 Patch Tuesday において Microsoft は、Windows LSA Spoofing Vulnerability とラベル付けした脆弱性 CVE-2022-26925 に対して、つまり、積極的に悪用される NTLM Relay Attack に対して、セキュリティ更新プログラムをリリースした。

Continue reading “Microsoft を悩ます PetitPotam Windows NTLM リレー攻撃:完全な FIX には時間が必要?”

Atom Silo/LockFile ランサムウェアに対する無償の復号ツールがリリース

Free decryptor released for Atom Silo and LockFile ransomware

2021/10/27 BleepingComputer — Avast がリリースしたのは、AtomSilo と LockFile ランサムウェアの被害者が身代金を支払うことなく、ファイルの一部を無料で復元するための復号化ツールである。今日の未明に Avast は、Babuk ランサムウェアの被害者がファイルを無料で復元するための、別の復号化ツールもリリースしている。

Continue reading “Atom Silo/LockFile ランサムウェアに対する無償の復号ツールがリリース”

CISA 警告:Microsoft Exchange の ProxyShell 脆弱性へのパッチを急げ

CISA warns admins to urgently patch Exchange ProxyShell bugs

2021/08/23 BleepingComputer — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、初めての緊急と銘打った警告を発し、オンプレミスの Microsoft Exchange サーバーにパッチを適用し、ProxyShell の脆弱性が積極的に悪用されないようにと促している。同組織は、「悪意の脅威アクターが、ProxyShell の脆弱性である CVE-2021-34473 CVE-2021-34523 CVE-2021-31207 を積極的に利用している。

Continue reading “CISA 警告:Microsoft Exchange の ProxyShell 脆弱性へのパッチを急げ”

LockFile ランサムウェアは PetitPotam 攻撃で Windows ドメインを乗っ取る

LockFile ransomware uses PetitPotam attack to hijack Windows domains

2021/08/20 BleepingComputer — 少なくとも1人のランサムウェア脅威アクターが、最近発見された PetitPotam NTLM リレー攻撃手法を利用して、世界中の様々なネットワーク上の Windows ドメインを乗っ取り始めている。この攻撃の背後には、7月に初めて確認された、LockFile と呼ばれる新しいランサムウェア・ギャングがいるようだが、同業のグループとの類似性や参照点が見られる。

Continue reading “LockFile ランサムウェアは PetitPotam 攻撃で Windows ドメインを乗っ取る”