要約すると、今月初めに Microsoft が明らかにした重大な Exchange の脆弱性の悪用は、当初人々が疑っていたよりもはるかに悪質なものになる可能性があるようです。
スロバキアのセキュリティ企業ESETの分析によると、国家の支援を受けているとみられる6つの高度な犯罪ハッカーグループが、脆弱性が修正される前に、このゼロデイ脆弱性を利用して政府機関や産業界のサイトを攻撃したとされています。当時、マイクロソフトは、ハフニウムと呼ばれる中国を拠点とするハッカーグループ1グループのみが、この脆弱性のあるコードを不正に悪用したと主張していました。タイムラインは以下をご覧ください。
すべてがいかにして悪化したか。出典:ESET。クリックして拡大
Tick、LuckyMouse、Calypso、Websiic、そしてWinnti Groupの5つのグループが、パッチがリリースされる前にこのゲームに参加していたようです。ただし、Winnti Groupは(ESETが概説したシナリオでは)Microsoftの発表のわずか数時間前にこのゲームを利用していました。このタイムラインは、特にMicrosoftが世界中の主要なセキュリティパートナーに送信した2月23日のアラートから脆弱性が漏洩したという報道を考慮すると、興味深い可能性を示唆しています。
DEVCOREのハッカー、オレンジ・ツァイは12月10日に最初のExchangeのバグを発見し、大晦日までに管理者レベルのリモートコード実行(RCE)攻撃に利用していた。1月5日にマイクロソフトに通知した後、彼とレドモンドのチームは2月18日までに報告書の草稿を完成させた。報告書は23日に送付され、その5日後に第二波の攻撃が開始された。
では、悪夢のシナリオを選んでみましょう。国家支援を受けたチームが脆弱性を発見し、おそらく誰かが発見する少し前に悪用し、その後、同様のグループに共有したという可能性です。二つ目の可能性として、DEVCOREまたはMicrosoftのセキュリティチームが侵入された可能性(倫理的なバグハンターが標的にされていることを考えると懸念されます)、あるいはレドモンドのセキュリティパートナーの1社以上が敵に情報を提供している可能性が挙げられます。
真実は、これらすべての選択肢が混ざり合ったものである可能性もあります。
Exchange のこの混乱をさらに悪化させる何かがあるでしょうか? 可能性としては、システム管理者が Reddit で、Microsoft のマルウェア対策ツール MSERT が Exchange への攻撃の兆候を誤検知していると苦情を訴えていることが挙げられます。
元アップルの材料担当責任者が不器用に秘密を盗んだと告発される
2019年11月に同社を退職する前にアップル社の先端材料部門のリーダーの一人であったサイモン・ランカスター氏は、会社の秘密を私的に盗み、報道関係者に漏らしたとして、元雇用主から訴えられた。
木曜日に初めて報じられた訴訟で、アップルはランカスター氏を知的財産権の窃盗で告発し、盗まれたデータを用いてスタートアップ企業に入社したと主張している。また、ランカスター氏は、あるジャーナリストにアップルの機密情報を提供し、その見返りにそのスタートアップ企業に関する記事の執筆を申し出たとされている。
ランカスター氏は、今後発売されるアップル製品に関する情報を得るために、出席すべきでない会議に出席し、匿名のジャーナリストに物理的およびデジタル形式で情報を渡し、そのメディア関係者が、ランカスター氏がもっと知りたいと思っていたアップルの事業分野を詳しく調べるような関係を築いたとされている。
ランカスターは、営業秘密保護法違反、カリフォルニア州統一営業秘密法違反、および契約違反で訴えられている。
iPhoneの通話録音が誰でも閲覧可能になり、さらなる問題発生
これは Apple のせいではありませんが、それでも非常に心配です。
iPhoneユーザーで通話を録音したい人のために、「Call Recorder」というアプリがありますが、実はこの録音データが誰でも閲覧できる状態になっていた可能性があります。バグハンターPingsafe AIの創設者、アナンド・プラカシュ氏は、このアプリに13万件もの音声録音、つまり約300GBのデータが盗聴される可能性があるという不具合を発見しました。
「PingSafe AIはIPAファイルを逆コンパイルし、アプリケーションが使用するS3バケット、ホスト名、その他の機密情報を解明した」と同社は述べている。
「この脆弱性により、悪意のある攻撃者は、アプリケーションのクラウド ストレージ バケットと、被害者のデータのクラウド ストレージ URL を漏洩する認証されていない API エンドポイントから、任意のユーザーの通話録音を盗聴できるようになりました。」
責任ある情報開示のおかげで、アプリは現在修正されましたが、不要な録音を削除する価値はあるかもしれません。
スイス警察、ヴェルカダ盗聴器発見チームのメンバーに手錠をかける
今週初め、バグハンターたちは、ビデオ監視事業を展開するVerkadaの管理者認証情報が無防備状態のまま放置されていたことを発見しました。これにより、CloudflareやTeslaといった大手顧客の施設内監視情報が漏洩する恐れがありました。現在、この問題を発見したチームの1人が手錠をかけられていますが、どうやらその事件とは関係ないようです。
ヴェルカダ事件で名指しされた21歳のハッカー、ティリー・コットマンが、金曜日にスイス警察に逮捕されたと報じられている。ビデオ事件ではなく、それ以前のハッキング犯罪の容疑で逮捕された。これは、ワシントン州西部地区のFBI捜査によるものとみられている。
Gitユーザーにパッチを当てる時間
Git は、Git LFS が使用する遅延チェックアウト メカニズムの RCE を修正しました。今すぐ修正しないと、システムが機能しなくなります。
「Git LFS で設定されているような特定の種類のクリーン/スマッジ フィルターを悪用することで、特別に細工されたリポジトリが、大文字と小文字を区別しないファイルシステムでシンボリック リンクをサポートする git clone 中にコードを実行できる」というエラーを回避するには、ユーザーはバージョン 2.30.2 にアップグレードする必要があります。
唯一の代替手段は、シンボリック リンクとプロセス フィルターのサポートを無効にして、信頼できないリポジトリを避けることです。®
