Kaspersky(カスペルスキー)のグローバル調査分析チーム(以下、GReAT)は、Microsoftの共通ログファイルシステム(以下、CLFS)におけるゼロデイ脆弱性を利用した攻撃を発見したことを発表した。
同社が発見した脆弱性の多くは、APT(持続的標的型)攻撃に使用されているが、この脆弱性は、ランサムウェアを使用して攻撃を行うグループがサイバー犯罪の目的で悪用しようとしていたという。
同グループの特徴は、類似性はあるものの、大量のユニークなCLFSのエクスプロイトを使用していること。同社のリサーチャーは、2022年6月以降、少なくとも5種類のこの種のエクスプロイトを確認しており、卸売と小売、エネルギー、製造、ヘルスケア、ソフトウェア開発の業界への攻撃に使用されていたとしている。
Microsoftは、このゼロデイ脆弱性にCVE-2023-28252を割り当てた。これは、CLFSの権限昇格の脆弱性で、ログファイルの操作によって引き起こされるという。Kasperskyのリサーチャーは、2月に、中東および北米地域の様々な中小企業のMicrosoft Windowsサーバーにおいて、同様の権限昇格のエクスプロイトを実行しようとする多数の試みを確認しており、追加で再調査した結果、この脆弱性を発見した。
CVE-2023-28252は、サイバー犯罪者が最終的にランサムウェアNokoyawaの新しい亜種を展開しようとしていた攻撃において、同社のリサーチャーによって発見。これまでの亜種は、ランサムウェア「JSWorm」の名前を変更しただけの亜種だったが、今回の攻撃で使用されたNokoyawaの亜種は、コードベースの面でJSWormとは異なるとしている。
今回の攻撃で使用されたエクスプロイトは、Windows11を含むWindows OSの様々なバージョンおよびビルドに対応するように開発されている。攻撃者はCVE-2023-28252の脆弱性を利用して、権限を昇格しセキュリティアカウントマネージャー(SAM)データベースから認証情報を窃取するという。
Kaspersky GReAT リードセキュリティリサーチャー ボリス・ラリン(Boris Larin)氏のコメント
ゼロデイ脆弱性は、以前は主にAPT攻撃グループのツールでしたが、今ではサイバー犯罪グループが使用するようになりました。サイバー犯罪者たちは、ゼロデイ脆弱性を定期的に攻撃で使用するためのリソースを手に入れています。また、犯罪者らに協力し、次々とエクスプロイトを開発するエクスプロイト開発者も存在します。企業は、Microsoftの最新パッチを可能な限り速やかに適用し、EDRソリューションなど、他の保護対策を使用することが重要です。
【関連記事】
・カスペルスキー、法人向けなりすましメール模擬テストの支援サービスを無償で2ヵ月間利用可能に
・カスペルスキーCEO、3年半ぶりに来日「逆境下でも、我々は求められている」
・IT部門から知識不足を悟られたくない日本の経営層は6割以上 カスペルスキーが調査結果を発表
