先週、Google Project Zeroチームは、攻撃者が被害者のコンピューターでシステム権限を取得できるようにするWindows10の脆弱性の詳細を明らかにしました。
この問題の驚くべき点は、実際の攻撃で別の攻撃と組み合わせて使用されたことです。これも最近、GoogleChromeブラウザーで脆弱性が見つかりました。彼らは、サンドボックスから脱出できるFreeTypeフォントハンドラー(既に閉じられている)にバグを発見しました。それぞれ、いくつかの脆弱性がそのようなシナリオを可能にしました。被害者は感染したWebページに誘惑され、攻撃者はブラウザの安全な環境の外でコードを実行し、Windowsの脆弱性により、システムを完全に制御できます。
このシナリオは推測に基づくものです。Googleは攻撃自体の詳細を開示していません。同時に、Project Zeroチームは、ゼロ日の脆弱性開示ルールを適用し、パッチのリリースに7日しか与えませんでした。公開時点では、Windows用のパッチはまだ利用できません。11月10日に予定されている通常のアップデートセットに含まれている可能性があります。従来、かなり苛酷な意見交換がありました。Microsoftは、Googleのセキュリティ担当者が公開を容認できたと考えており、Project Zeroは、ベンダーがパッチをより早くリリースすることを奨励していると確信しています。
ソース
Windows 10のバグ:ArsTechnicaの記事、技術情報。
Google Chromeの脆弱性:ProjectZeroバグトラッカーの技術データとディスカッション。
脆弱性CVE-2020-117087は、少なくともWindows10およびWindows7に影響します。データ暗号化のシステム機能の1つに存在します。情報処理でエラーが発生すると、バッファオーバーフローが発生し、システム権限を持つ任意のコードを実行するための条件が作成されます。 Project Zeroの技術記事では、脆弱な機能のロジックを疑似コードで示し、システムをクラッシュさせるPoCスクリプトも含まれています。
同様に、Chromeブラウザの脆弱性は、Blinkエンジンに基づく他のブラウザに影響を与える可能性があります。おそらくブラウザだけではありません。バグはサードパーティのライブラリのコードで見つかりました。興味深いことに、MicrosoftはWindowsの脆弱性の積極的な悪用を確認していませんが、Googleはそうではないと考えています。実際の攻撃が行われた場合(それに関する情報は開示されていません)、いずれにせよ、その初期段階はChromeブラウザーでした。 FreeTypeライブラリの脆弱性パッチにより、この特定の攻撃方法は不可能になりました。もちろん、それは他の方法でWindowsの脆弱性を悪用する可能性を排除するものではありません。
他に何が起こったのか:
Kaspersky Labの専門家は、今年の第3四半期にDDoS攻撃に関するレポートを公開しました。キャンペーンの総数は、サイバー犯罪者の異常に高い活動が記録された前の期間と比較して大幅に減少しており、明らかにパンデミックに関連しています。
ソフォスは、2要素認証をバイパスしようとするFacebookパスワードのフィッシング手法を報告しました。ユーザーは(ページを削除する恐れがある)、著作権侵害の申し立てに異議を申し立てることができます。偽のアカウントログインページで、アカウントにログインするためのユーザー名、パスワード、およびワンタイムコードを入力することを提案します。
フィンランドでは、Vaastamo心理療法センターの少なくとも300台のクライアントのデータが漏洩しました。一部の記録は公開され、一部の患者は暗号通貨で約200ユーロの身代金要求を送られ、機密情報を公開すると脅迫されました。これに先立ち、サイバー犯罪者は影響を受けた組織から従来の方法でお金を稼ごうとしました-彼らはそこからほぼ50万ユーロを要求しました。 個人データの少し危険性の低い使用は攻撃です
レストランチェーンのクライアントアカウントに。一部の顧客のアカウントは、おそらく資格情報の詰め込みの方法によってハイジャックされました。攻撃者は、他のすでにハッキングされたサービスで使用されていたため、パスワードを推測することができました。その結果、顧客に代わって大量の注文があったため、大幅な損失が発生しました。サイバー犯罪者は文字通り食べ物のために働いた。
このリリースでは、WordPress 5.5.2は、パッチが適用されていないWebサイトを制御できる重大な脆弱性をシャットダウンしました。これは、サードパーティのプラグインではなく、CMSコードで重大な問題が発生することはまれです。