みっきー申す

ITに関する興味関心のまとめ、サイバーセキュリティニュースのまとめ、Twitter(https://mobile.twitter.com/microkeyword)で配信中の情報まとめなどを公開します

【速報】OpenPGP と SMIME の脆弱性に関するレポートとサーバの脆弱性を狙った新たな攻撃について

タイトルが早速長いですが、気になった記事があったので、小出しですが、共有します。

あっ、ついに令和の時代になりましたね。天皇陛下の言葉の中で、「そして世界の平和を切に希望します。」を結びに選んだ点が印象的でした。

さて、今回のトピックは2つです。

OpenPGP と S/MIME 署名の脆弱性を悪用したなりすましについて

本件は、ドイツのルール大学ボーフムミュンスター大学が共著で公開した以下のレポートに基づくものです。

https://github.com/RUB-NDS/Johnny-You-Are-Fired/raw/master/paper/johnny-fired.pdf

レポートでは Bob と Alice がやり取りしているメールに対し、攻撃者の Eve が Alice になりすましたメールを送るロールプレイを通して、5つの攻撃手法を紹介しています。

とはいえ、レポート自体すごく長いので、まずは、中段の影響を受けうるソフトウェアを確認するのがいいかと思います。(単純に僕自身の英語力の問題はありますが(笑))

影響するソフトはおおよそ以下の通りですが、詳しくはレポートを読んでください。
ThunderbirdMicrosoft OutlookApple Mail、KMail、Evolution、MailMate、Airmail、K-9 Mail、Roundcube、Mailpile.

もちろん、上記ソフトに加え、何のプラグインを使って署名をしているかの組み合わせも影響するので、その辺りの確認も忘れずに。

そういえば、昨年もこんなのあったなーっと思い、一応転載。

efail.de

www.jpcert.or.jp

WebLogic Server の脆弱性の悪用と、そこで使われた新たなランサムウェア Sodinokibi について

本件、先週末のブログでも公開しましたが、WebLogic Server の脆弱性(CVE-2019-2725)を悪用した実証コードが公開されていました。 その後、JPCERT/CCIPA からも注意喚起が発行されて、国内に広く呼び掛けられました。

www.jpcert.or.jp

www.ipa.go.jp

そして、本日(現地時間では昨日)Talos のブログでランサムウェア Sodinokibi 感染についての観測記事が公開されました。

WebLogic Server に感染したサーバは、攻撃者の用意した C2 サーバよりランサムウェア Sodinokibi をダウンロードしてきます。

ちなみに、この C2 サーバにはいくつかのドメインが紐付いていて、フィッシングサイトに使われているものもあるようです。

なお、 Sodinokibi のダウンロードはPowershell で行われ、certutil を使って検出回避を行うような手法も使っています。

ちなみに、今回観測した攻撃に関して、 Sodinokibi を感染させたあとの攻撃では、 GandCrab の配布を観測しているとのことです。

にしても、Sodinokibi の詳しい情報があまりないもので。。 4 日前にロシア語の記事があるのですがそれが一番古いのかな。 今後の動きに注目ですかね。(あんまり流行らないんじゃないかなー)

最後に

GW ですが、海外ニュースの量はあまり変わらず、ベンダも積極的にレポートだしますね。 海外は GW 関係ないですからね(笑) ちなみに、年末年始はめちゃくちゃ量減るので、これはこれで珍しいのかな。ではでは。