完璧な攻撃チェーンで悪用される可能性のある 4 つの Windows の脆弱性

最初の脆弱性 (CVE-2023-29325 として識別) は、Windows 上の OLE (オブジェクトのリンクと埋め込み) テクノロジにおけるリモート コード実行バグであり、Outlook に影響します。これを悪用するために、ハッカーはユーザーに悪意のあるフィッシングメールを送信します。

Outlook ソフトウェアを使用して電子メールを開くか、Outlook アプリケーションで電子メールのプレビューを表示するだけで、攻撃者はリモートでコードを実行し、デバイスを完全に制御できます。

2 番目の脆弱性 CVE-2023-29336 は、オペレーティング システムの Win32k カーネル ドライバーにおける権限昇格のバグです。攻撃が成功すると、ハッカーはユーザー権限からシステム権限（オペレーティング システムの最高権限）に昇格し、ターゲット デバイスにマルウェアをインストールしてアクセスを維持できるようになります。この脆弱性は現在、現実世界の攻撃に悪用されています。

3 番目の脆弱性 CVE-2023-24932 により、ハッカーはセキュア ブート機能をバイパスできるようになります。ハッカーは、これを悪用するために、ターゲットデバイス上で「潜伏」したり管理者権限を取得したりして、システムファームウェアにブートキットマルウェアをインストールしようとします。このブートキットにより、ハッカーはデバイスのブートプロセスを制御し、より長く潜伏し、セキュリティソリューションによる検出を回避できるようになります。

最も危険なのは、リモートコード実行の脆弱性 CVE-2023-24941 (CVSS 深刻度スコア 9.8/10) であり、これはハッカーが他のシステムに深く侵入するための踏み台となる可能性があります。 Windows ネットワーク ファイル システム (NFS) ファイル共有プロトコルに脆弱性が存在します。

認証されていない攻撃者は、特別に細工したコマンドを NFS サービスに送信し、Windows サーバーを制御する可能性があります。 CVE-2023-24941 は Windows Server 2012、2016、2019、および 2022 に影響し、ユーザーの操作は必要ありません。

Bkav の専門家によると、理想的な条件下では、ハッカーは上記の 4 つの脆弱性を組み合わせて、次のような攻撃チェーンを作成できます。まず、被害者を騙して偽の電子メールをクリックさせ、CVE-2023-29325 を悪用し、ターゲット デバイスでリモート コード実行権限を取得します。

次に、CVE-2023-29336 を介して権限をユーザー レベルからシステム権限に昇格し、マルウェアに感染してデバイスへのアクセスを維持します。デバイスに侵入すると、ハッカーは CVE-2023-24932 を使用してセキュア ブート セキュリティ機能を悪用し、マルウェアをインストールして、被害者のシステム上に存在し続けることができます。

最後に、CVE-2023-24941 を悪用して Windows サーバーの奥深くまで侵入します。

Bkavのサイバーセキュリティ担当ディレクターのグエン・ヴァン・クオン氏は次のようにコメントしています。「攻撃手順をうまく実行することで、ハッカーはシステム全体を制御して機密情報を盗むことができます...特に、CVE-2023-29325の脆弱性により、ユーザーは電子メールフィッシングキャンペーンの被害者になるリスクがあります。」このタイプの攻撃は非常に簡単で、コストも低く、大規模に実行できるため、影響は非常に大きくなります。

Microsoft は、2023 年 5 月のパッチ (Patch Tuesday) でこれらのバグを修正しました。サイバーセキュリティの専門家は、広範囲にわたる攻撃を回避するために、ユーザーがすぐにアップデートすることを推奨しています。同時に、ユーザーは出所不明の奇妙なメールを開かないようにする必要があります。システムに異常が見つかった場合は、専門家チームに連絡して調査と対応を依頼する必要があります。