脆弱性調査の分野では、例年どおり忙しい一年でした。今年は 1 営業日あたりで 1 件を超える脆弱性を公開してきました。それらの多くは IoT や ICS デバイスに関するものです。一年の脆弱性のまとめについては、こちらの記事をご覧ください。
新年を目前に控える中、今週も多くの脆弱性を公開しました。詳細は割愛しますが、Apple 社製 Safari ブラウザに発見したリモートコード実行の脆弱性や、Linux カーネルで見つけたサービス妨害の脆弱性などです。
さらに今週は、Microsoft 社から 2019 年最後のセキュリティ更新プログラムが公開されました。注目すべき脆弱性についてはこちらの記事をご覧ください。それらの脆弱性から保護する Snort ルールはこちらのページに記載されています。今月公開された脆弱性のうち、2 件は Talos が発見したものです。いずれも Windows のリモート デスクトップ プロトコルに関連するもので、旧バージョンの Windows が影響を受けます。
1 週間のサイバー セキュリティ概況
- Adobe 社、各種の同社製品に対して月例のセキュリティ更新プログラムをリリース。今回は Adobe Acrobat Reader で発見された 14 件の「緊急」な脆弱性などが含まれています。
- セキュリティカメラ「Ring」、深刻なエクスプロイトにさらされていることが一連のニュースで報じられる。フロリダ州では攻撃者が Ring カメラのスピーカーを乗っ取り、所有者に人種差別的な中傷を投げかける事態が起きています。またテネシー州では、購入からわずか 4 日の Ring カメラに男が侵入し、3 人の女の子を盗撮したと考えられるうえ、サンタを装って 1 人に話しかける事件も起きています。
- 米国のインフラ諮問委員会による新しい報告書では、米国のインフラに対するサイバー攻撃が「現実的な脅威」になっているとして政府に警告。同委員会はまた、ICS システムを保護する「大胆な対策」を講じるようドナルド・トランプ大統領に促しています。
- ランサムウェア「Ryuk」の作者による新しい復号ソフトウェアについて、サイズの大きなファイルを破損させる可能性が指摘。復号ソフトウェアの本来の目的は、身代金を支払った被害者のファイルを回復させることです。
- 新種のランサムウェア「Snatch」、感染プロセスの途中で Windows マシンを再起動する手口により検出を回避。再起動により強制的にセーフモードを起動し、暗号化プロセスを開始します。
- フロリダ州ペンサコーラ市、市内の米軍施設で発砲事件が起きたわずか数日後にランサムウェア攻撃を受ける。影響は今も続いており、市庁の電話回線や一部の電子メールなどのオンライン機能が木曜日現在もダウンしています。
- イラン政府、不特定の「電子インフラストラクチャ」に対する大規模なサイバー攻撃を阻止したと発表。ある政府高官は、マルウェアについて具体的な情報は提供できないものの、「政府が関与する高度に組織化された攻撃」だと述べています。
- 米国のドナルド・トランプ大統領、今週開かれたロシア当局者との非公式会談で選挙のセキュリティについて話し合っていたことが判明。ロシアのセルゲイ・ラブロフ外相は会談後の記者会見で、2016 年の米国大統領選挙における不正行為についてロシア側としては情報を公表したいが、米国側がそれを阻止していると述べました。
- Apple 社、最新バージョンの iOS を今週リリース。Safari に新しいセキュリティ機能が提供され、NFC、USB、Lightning のセキュリティキーがサポートされました。これによりパスワードへの依存から脱却できます。
- Google Chrome、データ漏えいによりログイン情報が流出している場合に警告する新機能を追加。ユーザがサイトにログインするたびに、その際のログイン情報が流出していないか漏えい情報のデータベースと照合します。
最近の注目すべきセキュリティ問題
件名:Microsoft 社、月例のセキュリティ更新プログラムで 2 件の「緊急」な脆弱性を修正
説明:Microsoft 社は本日、各種の製品で確認された脆弱性に対して月例のセキュリティ更新プログラムをリリースしました。今回の脆弱性は 25 件で、そのうち 2 件が「緊急」と評価されています。同社の各種サービスとソフトウェア(リモート デスクトップ プロトコル、Hyper-V、複数の Microsoft Office 製品など)で発見されたセキュリティ問題を修正しています。
Snort SID:52402、52403、52410、52411、52419、52420
件名:AMD 社製 ATI Radeon で確認された、ATIDXX64.DLL(シェーダー機能 sincos)に起因するサービス拒否の脆弱性
説明:Cisco Talos は最近、AMD 社製 ATI Radeon シリーズのビデオカード内に、特定の DLL に起因するサービス拒否の脆弱性を発見しました。この脆弱性は、VMware ゲスト OS 内に不正なピクセルシェーダーを提供することでエクスプロイトされる可能性があります。このような攻撃は VMware ゲストユーザモードからトリガーされ、ホスト上の vmware-vmx.exe プロセスで境界外メモリ読み込みが発生する可能性があります。理論的には WEBGL によって引き起こされる可能性もあります。
Snort SID:51461、51462(作成者:Tim Muniz)
今週最も多く見られたマルウェアファイル
SHA 256: 64f3633e009650708c070751bd7c7c28cd127b7a65d4ab4907dbe8ddaa01ec8b
MD5: 42143a53581e0304b08f61c2ef8032d7
一般的なファイル名:myfile.exe
偽装名:N/A
検出名:Pdf.Phishing.Phishing::malicious.tht.talos
SHA 256:f917be677daab5ee91dd3e9ec3f8fd027a58371524f46dd314a13aefc78b2ddc
MD5: c5608e40f6f47ad84e2985804957c342
一般的なファイル名:FlashHelperServices.exe
偽装名:Flash Helper Service
検出名: PUA:2144FlashPlayer-tpd
SHA 256:3f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3
MD5: 47b97de62ae8b2b927542aa5d7f3c858
一般的なファイル名: qmreportupload.exe
偽装名: qmreportupload
検出名:: Win.Trojan.Generic::in10.talos
SHA 256: c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f
MD5: e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f.bin
偽装名:N/A
検出名: W32.AgentWDCR:Gen.21gn.1201
SHA 256:15716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8b
MD5: 799b30f47060ca05d80ece53866e01cc
一般的なファイル名:mf2016341595.exe
偽装名:N/A
検出名:W32.Generic:Gen.22fz.1201
Talos の最新情報については、Twitter をフォローしてください。 Snort、ClamAV と Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2019年12月12日に Talos Group のブログに投稿された「Threat Source newsletter (Dec. 12, 2019)」の抄訳です。