マイクロソフトは、Windows 10の脆弱性に対処するため、2つのセキュリティパッチをリリースしました。これらの脆弱性は、悪意のある人物がPCを乗っ取るために悪用される可能性があります。被害者は、脆弱なシステム上で、細工された画像を含むファイルを開かせるだけで済みます。
レドモンドの大手企業は今週、悪用可能なバグ CVE-2020-1457 と CVE-2020-1425 が、一部のアプリケーションが画像処理に使用する Windows HEVC コーデック ライブラリに存在すると発表した。
CVE-2020-1457の場合、悪用が成功すると、攻撃者は被害者のコンピュータ上で任意のコードを直接実行できるようになります。一方、CVE-2020-1425は、リモートコード実行の脆弱性とも呼ばれていますが、攻撃者が「ユーザーのシステムをさらに侵害するための情報を入手」できる可能性があるとマイクロソフトは述べています。
この件で朗報があるとすれば、Windows 10のデフォルト設定では脆弱性がないということです。問題のHEVCコーデックは、Windowsストアからダウンロードするオプションのアドオンです。
Windows Server および以前のバージョンの Windows には脆弱性はありません。
マイクロソフトが通常のパッチ火曜日のリリース間隔外でセキュリティアップデートを公開するのは比較的稀です。今回のケースでは、HEVC は Windows ストアからダウンロードされるため、Windows 10 の組み込みコンポーネントと同じパッチリリースのタイミングには従わないため、通常とは異なるタイミングでリリースされたとレドモンドは述べています。
この脆弱性を発見したのは、トレンドマイクロのゼロデイ・イニシアチブを通じて活動していたアブドゥル・アジズ・ハリリ氏です。この脆弱性は非公開で報告されており、今のところ実環境での悪用は報告されていません。
Cisco SMBキットにクロスサイトスクリプティングのバグが潜む:間違ったリンクをクリックするだけで、ルーターがリモートから乗っ取られる
続きを読む
Microsoft の次回のセキュリティ更新は 7 月 14 日に予定されています。
Microsoft にとって明るい面としては、F-Secure の人々が、ボットネットやマルウェアの運営者が Azure や Office 354 サービスを悪用するのを阻止した米国のテクノロジー大手のセキュリティ専門家を称賛している点が挙げられる。
F-Secure の Tim Carrington 氏は、同社のチームが C3 フレームワーク内のコマンド アンド コントロール サーバーとして機能するために、いずれのクラウド サービス上のインスタンスも使用できなくなったと述べた。
C3サービスは、F-Secureが提供する、企業が自社のネットワークやサービスを実際の攻撃に対してテストするための、一種の概念実証ボットネットサービスです。テスト担当者がC3を使って侵入できるのであれば、犯罪者も侵入できると確信できるという考え方です。
キャリントン氏の説明によると、今回のケースでは、マイクロソフトが検出および削除ツールを強化したため、Office365 または Azure でマルウェアのコマンド アンド コントロール サーバーを起動しようとする試みは 3 時間以内に排除されるという。
「マイクロソフトは、攻撃を防御に活かすという課題に立ち向かいました。これは、F-Secure Consultingのレッドチームオペレーターを混乱させただけでなく、現実世界の脅威アクターに致命的な打撃を与えました」とキャリントン氏は述べています。
「攻撃者にツールキットの再開発を強い、リソースの再分配につながるような組織の取り組みは、歓迎すべきものです。」®
