JPCERT/CCによると、マイクロソフトが2件の脆弱性のパッチを公開、これら脆弱性はすでに悪用が認められているということです。JPCERT/CCはマイクロソフトが提供する情報を参照して早急に更新プログラムを適用するように求めています。
マイクロソフトがパッチ公開、更新を
マイクロソフトの2件の脆弱性はCVE-2024-21351とCVE-2024-21412で、CVE-2024-21351はセキュリティ機能である Windows SmartScreen をターゲットにしており、この脆弱性が使用された場合、SmartScreen にコードが挿入されてコードの実行権限が奪われる恐れがあり、その結果、一部のデータが公開されるか、システムの可用性が失われるか、またはその両方が発生する可能性があるということです。マイクロソフトはすでにこの脆弱性の悪用が認められているとしています。
また、CVE-2024-21412はインターネットアクセスファイルのセキュリティ機能のバイパスの脆弱性で、攻撃者は表示されるセキュリティチェックをバイパスするように設計された特別に作成されたファイルを標的のユーザーに送信する恐れがあり、マイクロソフトによるとCVE-2024-21412についてもすでに悪用が認められているということです。
トレンドマイクロによると、Water Hydra(別名DarkCasino)と呼ばれる高度なAPTグループがCVE-2024-21412を悪用して金融市場のトレーダーを狙った巧みな攻撃キャンペーンを行っていることを確認しているということです。この攻撃グループは、Microsoft Defender SmartScreenを回避し、被害者の端末に「DarkMe」というリモートアクセスツール(RAT)のマルウェアを感染させたということです。
Microsoft Defender SmartScreenを回避し乗っ取り
Water Hydra(別名DarkCasino)は、2021年に金融界を狙った一連のキャンペーンを開始し、世界中の銀行、暗号資産プラットフォーム、外国為替及び株式取引プラットフォーム、ギャンブルサイトを標的にした攻撃を行っているということです。JPEG画像に見せかけたインターネットのショートカットを使用し、ユーザがそれをクリックすると、脆弱性CVE-2024-21412が悪用され、その結果、攻撃グループは、Microsoft Defender SmartScreenを回避してWindowsのホストを完全に乗っ取ることが可能になるということです。
脆弱性CVE-2024-21412は、Windows 10と11に搭載されているMicrosoft Defender SmartScreenの機能に影響するということです。この機能はWindows 8で導入され、ユーザーが不正なURLやファイルにアクセスしようとする際に警告を出すための機能だということです。現在サポートされている全てのWindowsクライアント版がこの脆弱性の影響を受けるということです。
トレンドマイクロによると、この攻撃グループは金銭目的で活動しており、ソーシャルエンジニアリングの手口を駆使して被害者に不正なリンクをクリックさせ、脆弱性CVE-2024-21412を悪用して被害者のホストシステムを乗っ取り、不正なコードを仕込むということです。このキャンペーンで使用されているマルウェア「DarkMe」はVisual Basicのトロイの木馬で、コマンドアンドコントロール(C&C)と通信して侵害システムの情報を収集するとともに追加命令をダウンロードして実行する機能も備えているようです。このマルウェアは2021年9月に登場し、その後、バージョンアップしているようです。
■出典
https://www.jpcert.or.jp/at/2024/at240006.html
https://www.trendmicro.com/ja_jp/research/24/b/cve-2024-21412-facts-and-fixes.html