みっきー申す

ITに関する興味関心のまとめ、サイバーセキュリティニュースのまとめ、Twitter(https://mobile.twitter.com/microkeyword)で配信中の情報まとめなどを公開します

今週のIT・サイバーニュースまとめ(20190609-20190615)

今週の総括


今週の記事まとめです。

今週は、ソフトウェアの脆弱性や管理の甘い IT インフラに対する攻撃の記事が多かったかなと思っています。

Interop の展示では IoT の脅威!

みたいに言っていましたが、まずは IT ですよね。

セキュリティは IT から勉強したほうがいいんじゃないかなと思う今日この頃。


感想

Chrome のアドオンEvernote Web Clipperの脆弱性

Evernote Web Clipper という Chrome のアドオンに脆弱性があり、攻撃者がユーザの利用するオンラインサービスから情報を取得できてしまうとの記事が出ました。

guard.io

Evernote は広く使われているアプリケーションですし、記事によると、本アドオンも460万人のユーザがいるとのことです。

Guardio の公開している攻撃の手順 (PoC) は以下です。

https://cdn.guard.io/sr2/guardio/www/components/BlogPost/vuln_diagram.0a048985c9.png

  1. ユーザが悪性の Web サイトに誘導される

  2. 情報取得のターゲットとなる別の web サイトの iframe タグを読み込む (ブラウザからは、わからないように実行される)

  3. 悪性のWebサイトを契機に、情報取得の対象となるサイトに不正なペイロードを埋め込む

  4. 結果として、対象となるサイトから cookie、 認証情報、個人情報などが取得される

ちなみに、実証動画も公開されてるので見てみてください。

youtu.be

Google もおそらくアドオンも含めた脆弱性管理はしているはずですし、バグバウンティとかもあるとは思いますが。

当事者は絶対大変だよなー

いずれにせよ、情シスも社員のソフトウェア管理などしっかり行う必要がありますよね。

こういう話だと、すぐ脆弱性管理とかに行きがちですが、「そもそも cookie 情報持たせるな」とか「同じパスワード使い回すな」とか、それ以前の問題がありますけどね(笑)


exim脆弱性を狙った攻撃の観測

CVE-2019-10149 として公表された exim脆弱性について、攻撃が観測されてるとの記事が出ました。

www.bleepingcomputer.com

当初、「RCE は Remote Code Execution じゃなくて、Remote Command Execution だよ。」みたいな記載が話題になりましたね。(笑)

RiskIQ のリサーチャの観測によると、全体の70%は対策済みのバージョン 4.92 にアップデートされているとのことです。

ただし、全体の数から考えるとまだまだ脆弱性を含むバージョンはたくさんあるとのことです。

https://www.bleepstatic.com/images/news/u/1109292/June%202019/Exim%20update%20timeline.jpg

観測されている攻撃パターンは2つあるようです。

  1. Tor を利用して不正なスクリプトを取得する

  2. tor2web の routing サービスを利用して、 an7kmd2wp4xo7hpr サービスにてスクリプトを設置 (すみません、Tor 不勉強なもので。。)

  3. 攻撃者が用意した C2 サーバからスクリプトを取得する

  4. C2サーバ 173[.]212[.]214[.]137/s にてスクリプトを設置

結論としては、

  • サーバを適当にインターネットに公開しないこと

  • パッチ運用頑張ること

以上につきますね。

Interop でもパッチ運用の話多かったな~


ランサムウェア MegaCortex の活動

先日、ランサムウェア Gandcrab の終息報道が話題になりました。

ただ、ランサムウェア自体が終わりになったわけではなく、ランサムウェア MegaCortex についての記事が Malwarebytes から出ていました。

blog.malwarebytes.com

ブログ記事に記載のある、MegaCortex の概要は以下です。

  • MegaCortex の配布方法は明らかになっていない

  • MegaCortex がダウンローダーから落とされてくる際の、C2 サーバは明らかになっている

  • 組織のネットワークが侵害されると、攻撃者はドメインコントローラーのアクセス権を奪取し、感染拡大を試みる

  • MegaCortex の配布には Qakbot、Emotet、Rietspoofが使われていると予想されている

  • 具体的な攻撃対象も明らかになっていない

Emotet 経由で落とされてくるランサムウェアとして Gandcrab が使われていましたが、今後は使われていく可能性もあるんですかね。

今後に注目ですね。


ここからは、一週間のまとめなので、ざっと流し読みしていただければと。 量が多くて僕自身もしんどいので、タイトルの流し読み→気になるところは、あとで見ることをおすすめします。

マルウェア・攻撃キャンペーン


脆弱性・アップデート関連


インシデント関連


ビジネス・政治・レポート


最後に

最近、いろんなメディアで「働き方改革」だったり「AI」みたいなのが取り上げられていて、それ自体がドラマになっちゃったりってのが多いですよね。

それだけ、今の社会課題ってのが考えるステージに来てるんだなと思わされるばかりです(笑)

個人的には、「最大多数の最大幸福」が達成されることが大事なんじゃないかなって思ってます。

ベンサム功利主義ですね。

ハンサムの小売り主義ではないですよ(笑) 一気に青山のショップ店員になってしまいましたが、今週はこの辺で。