Tag: Remote Procedure Call

Microsoft Remote Registry の EoP 脆弱性 CVE-2024-43532:技術的詳細と PoC が公開

Critical EoP Flaw in Microsoft’s Remote Registry: Researcher Publishes PoC for CVE-2024-43532

2024/10/21 SecurityOnline — Microsoft Remote Registry クライアントに存在する権限昇格の脆弱性 CVE-2024-43532 (CVSS:8.8) に対する、技術的詳細と PoC エクスプロイト・コードが、Akamai の研究者 Stiv Kupchik から公開された。この脆弱性は、推奨の SMB トランスポートが利用できない場合において、旧式のトランスポート・プロトコルを安全でない方法で使用する、WinReg クライアントのフォールバック・メカニズムの悪用に関連するものだ。この脆弱性の悪用に成功した攻撃者は、NTLM 認証情報のリレーを達成し、機密性の高いシステムを危険にさらす可能性を手にする。

Continue reading “Microsoft Remote Registry の EoP 脆弱性 CVE-2024-43532:技術的詳細と PoC が公開”

Earth Longzhi という中国ハッカー・グループ:DLL 悪用マルウェアでアジアを狙う

Chinese Hacker Group Earth Longzhi Resurfaces with Advanced Malware Tactics

2023/05/03 TheHackerNews — 中国の国家支援ハッカー集団が再登場し、台湾/タイ/フィリピン/フィジーなどの、政府/医療/テクノロジー/製造業を標的とする、新たなキャンペーンを展開している。この Earth Longzhi グループは、APT41 (別名 HOODOO/Winnti) のサブグループであり、半年以上も活動を停止していたが、Earth Baku/SparklingGoblin/GroupCC などのクラスターと重複した動きを見せている。Earth Longzhi は、2022年11月にサイバー・セキュリティ企業により検出され、東アジア/東南アジア/ウクライナなどの組織への攻撃が分析されている。

Continue reading “Earth Longzhi という中国ハッカー・グループ:DLL 悪用マルウェアでアジアを狙う”

Windows Server と NTLM リレー攻撃:脆弱性 ShadowCoerce は密かに修正されたのか?

Microsoft quietly fixes ShadowCoerce Windows NTLM Relay bug

2022/07/05 BleepingComputer — Microsoft は、May 2022 Update において、Windows サーバを標的とした NTLM (Windows New Technology LAN Manager) リレー攻撃を可能にする脆弱性 ShadowCoerce を修正した。この NTLM リレー攻撃は、パッチ未適用のサーバを、自身の支配下にあるサーバに対して強制的に認証させることで、Windows ドメインを乗っ取るというものだ。この問題は非公開であるが、BleepingComputer が Microsoft の広報担当者に確認したところ、「MS-FSRVP coercion abuse PoC (ShadowCoerce) は、同じコンポーネントに影響を与える、脆弱性 CVE-2022-30154 への対策で緩和された」とのことだ。

Continue reading “Windows Server と NTLM リレー攻撃:脆弱性 ShadowCoerce は密かに修正されたのか?”