ホーム » RCE

脆弱性「PrintNightmare」を悪用する攻撃手口を解説

投稿日:2021年9月10日
脅威カテゴリ:脆弱性, 攻撃手法
執筆:Trend Micro

PrintNightmareは、Microsoft Windowsの印刷スプーラーの脆弱性「CVE-2021-1675」「CVE-2021-34527」「CVE-2021-34481」「CVE-2021-36958」です。これは、印刷スプーラーサービスにおいてリモートおよびローカルの両方で任意のコードが実行される脆弱性であり、同サービスを実行しているすべてのWindowsのバージョンに影響します。多くのリサーチャは、異なる実装（TCPまたはSMB上）に基づくさまざまなProof of Concept（PoC、概念実証型エクスプロイト）を考案しました。Print System Asynchronous Remote Protocol（MS-PAR）のさまざまな関数呼び出しを用いてRpcAsyncAddPrinterDriverを悪用することで、サーバまたはワークステーション上でPrintNightmareが悪用される可能性があります。また、一方でPrint System Remote Protocol（MS-RPRN）を悪用することで、PrintNightmareはRpcAddPrinterDriverExを悪用してimpacketを実装する可能性があります。

本ブログ記事では、PrintNightmare用エクスプロイトおよびパッチ開発に関する時系列について概説すると共に、脆弱性「PrintNightmare」を悪用した攻撃手口の流れを解説し、印刷スプーラーサービスなどのシステム内に見られる重大なセキュリティ上の欠陥（バグ）がもたらすリスクを軽減するための推奨事項をお伝えします。

(さらに…)

2021年3月のセキュリティアップデートレビュー解説

投稿日:2021年3月16日
脅威カテゴリ:脆弱性, 速報
執筆:Zero Day Initiative (ZDI)

2021年に入り三度目の第２火曜日となった3月9日には、Adobe社およびMicrosoft社からセキュリティ更新プログラムが提供されました。これらのセキュリティ更新プログラムの詳細について確認しましょう。

(さらに…)

Web改ざんの攻撃手法をWordPress使用サイトでの事例から解説

投稿日:2020年1月20日
脅威カテゴリ:サイバー攻撃, 攻撃手法
執筆:Trend Micro

「WordPress」は、Webサイトや個人ブログの作成に利用されるオープンソースのコンテンツ管理システム（CMS）としてよく知られています。このCMSは現在、全Webサイトの35％で使用されていると推測されています。長らくWindowsがマルウェアに狙われ続けているように、使用者の多いシステムは攻撃者の格好の攻撃対象となります。攻撃者はプラットフォーム上に存在するセキュリティ上の弱点をあらゆる手口を尽くして探し出し、攻撃に利用します。特にWebサイトは多くの場合インターネットからアクセスされる存在です。攻撃者にとっても弱点の探索が可能であり、セキュリティ対策が不十分な場合、深刻なリスクがもたらされることになります。

(さらに…)

2020年も脆弱性に注意：「CVE-2019-19781」と「CVE-2020-0601」

先日の記事でもまとめたように、最近のサイバー犯罪では、フィッシング詐欺など利用者をだます手口が攻撃の中心となっているように見えます。ただしそれと同時に、攻撃に利用可能な脆弱性が存在する場合、サイバー犯罪者は躊躇なく脆弱性を利用した攻撃を行うこともわかっています。2020年はまだ半月が過ぎただけですが、この短い期間に２つの脆弱性に注目が集まっています。１つは「CVE-2019-19781」、もう１つは「CVE-2020-0601」です。

(さらに…)

産業制御システムはハッキング可能？「Pwn2Ownマイアミ」開催直前

投稿日:2020年1月15日
脅威カテゴリ:その他
執筆:Zero Day Initiative (ZDI)

トレンドマイクロ運営のセキュリティ研究機関Zero Day Initiative（ZDI）が開催するハッキングコンテスト「Pwn2Own」は、この12年間で大きく成長し、進化し続けています。バンクーバーを拠点とするこのハッキングコンテストは、コンテストの対象がWebブラウザから始まり、現在では仮想化ソフトウェアや法人向けアプリケーションまで扱っています。2012年には、モバイルデバイスも追加しました。以降、さらにさまざまなタイプのデバイスを扱うまでに進化し、2019年8月に東京で実施された際には、無線ルータ、Webカメラ、スマートテレビのセキュリティ侵害も扱いました。そして今回のPwn2Ownは2020年1月21〜23日に、産業制御システム（ICS）のセキュリティを扱う「S4カンファレンス」内で開催されます。これは、Pwn2Ownにとってさらなる成長を遂げること、つまり新たにICSをコンテストの対象とすることを意味します。Pwn2OwnでICSを扱うかどうかについては長年議論されてきており、多くの課題に直面してきました。課題を克服するため、Pwn2Ownの主催者であるZDIは、ICS業界の専門家や企業と協力し、ICS製品やプロトコルのセキュリティに関連する意味のあるコンテストを目指し、製品と関連部門の選定に尽力しました。これまでのコンテストと同様、今回も、脆弱性を明らかにし、調査結果をベンダーに提供することで、プラットフォームのセキュリティ強化に努めています。主催者の目標は、これまでと変わらず「脆弱性が攻撃者に悪用される前に修正する」という点に尽きます。

(さらに…)

「Jenkins」の初期設定で遠隔からのコード実行が可能になる恐れ、管理者は確認を

投稿日:2019年8月5日
脅威カテゴリ:不正プログラム, サイバー犯罪, サイバー攻撃, 脆弱性, 攻撃手法
執筆:Trend Micro

トレンドマイクロは、人気のあるオープンソースの自動化サーバ「Jenkins」の初期設定で、限られた権限のユーザが管理者権限を取得し、遠隔から任意のコードを実行できる可能性があることを確認しました。本記事では、このセキュリティ課題の詳細と想定される攻撃シナリオについて解説します。

■「Jenkins」とは

Jenkinsは、ソフトウェア開発チームのDevOpsにおいて開発側の作業を管理するために使用される人気のあるオープンソースの自動化サーバです。Jenkinsは、継続的インテグレーションと継続的デリバリー（CI / CD）プロセスにおいてソフトウェアプロジェクトを自動的にビルドすることが可能です。このようなタスクはジョブと呼ばれます。
(さらに…)

3種類の攻撃を実行するボット型マルウェア「AESDDoS」の亜種、脆弱性「CVE-2019-3396」を利用

投稿日:2019年5月24日
脅威カテゴリ:ボットウイルス, フィッシング, スパムメール, サイバー犯罪, 脆弱性
執筆:Trend Micro

ボット型マルウェア「AESDDoS」の亜種（「Backdoor.Linux.AESDDOS.J」として検出）が、2019年4月、トレンドマイクロが設置したハニーポットで検出されました。このマルウェアは、ソフトウェア企業「Atlassian」が開発する「Confluence Server」のWidget Connectorマクロにおいて、サーバサイドのテンプレートインジェクション脆弱性「CVE-2019-3396」を利用します。このソフトウェアは、DevOpsを採用する開発チームなどが利用するコラボレーションソフトウェアです。

弊社の調査では、このマルウェアの亜種は、脆弱なバージョンのConfluence Serverおよび「Confluence Data Center」を実行しているシステム上において以下の3つの攻撃を行うことが分かりました。

分散型サービス拒否（Distributed Denial of Service、DDoS）攻撃
遠隔からのコード実行（Remote Code Execution、RCE）
仮想通貨の発掘

(さらに…)

「Microsoft SharePoint」の脆弱性「CVE-2019-0604」を解説、遠隔からのコード実行が可能に

投稿日:2019年5月23日
脅威カテゴリ:脆弱性
執筆:Zero Day Initiative (ZDI)

Microsoftは2019年2月、Webベースのコラボレーションソフトウェア「SharePoint」で遠隔からのコード実行（Remote Code Execution、RCE）が可能になる2つの脆弱性に対処する修正プログラムを公開しました。2つの脆弱性の深刻度は両方とも緊急（Critical）に分類されました。攻撃者は特別に細工したリクエストを送信することでこの脆弱性を突き、SharePointのアプリケーションプールと企業アカウントのSharePointサーバにおいて任意のコードを実行することが可能です。

(さらに…)

「Apache Tomcat」の脆弱性「CVE-2019-0232」を解説、遠隔からコードが実行される恐れ

投稿日:2019年5月16日
脅威カテゴリ:脆弱性, 攻撃手法
執筆:Trend Micro

「Apache Tomcat」は、オープンソースのJavaサーブレットコンテナで、Apache Software Foundation（ASF）の支援を受けるコミュニティによって開発されました。このApache Tomcatは、「Java Servlet」、「JavaServer Pages（JSP）」、「Java Expression Language（EL）」、「WebSocket」を含むいくつかのJava EE の仕様を実装しており、Javaのみで記述された「ピュアJava」のHTTP Webサーバ環境を提供します。

セキュリティ企業「Nightwatch Cyber security」は、2019年4月15日、脆弱性「CVE-2019-0232」に関する情報を公開しました。この情報によると、Apache Tomcatの「Common Gateway Interface（CGI）」サーブレットに関して、遠隔からのコード実行（Remote Code Execution、RCE）の脆弱性が確認されました。この深刻度の高い脆弱性が悪用されると、攻撃者に任意のコマンドを実行されてしまう可能性があります。コマンドを実行するために、攻撃者はTomcatのCGIサーブレットが入力値を検証する際の不具合に起因するOSコマンドインジェクションを利用します。本記事では、この脆弱性の仕組み、可能性のある攻撃シナリオ、、そしてその脅威への対処について詳しく解説します。
(さらに…)

リポジトリ管理ソフトウェア「Nexus Repository Manager」に遠隔からのコード実行が可能になる脆弱性

投稿日:2019年3月22日
脅威カテゴリ:脆弱性
執筆:Trend Micro

「Sonatype」が開発する「Nexus Repository Manager（NXRM）3」で重大な脆弱性「CVE-2019-7238」が確認されました。この脆弱性を利用すると、認証されていないユーザが細工したリクエストを送信することによって遠隔から任意のコードを実行することが可能になります。NXRMは、ソフトウェア開発、アプリケーションのデプロイ、ハードウェアの自動的な割り当てなどに必要なコンポーネントを管理することができるオープンソースのソフトウェアです。Sonatypeによると、NXRMは15万台以上のサーバで稼働しています。

(さらに…)

Page 1 of 212