今週のIT・サイバーニュースまとめ(20190804-20190810)
今週の総括
HUAWEIがついに独自OSを公開しましたね。
私の記憶が正しければ「自分達はハードウェアメーカーだからOSは作らん!」みたいなことを言っていた気がしますが。
マイクロカーネルの利点を活かしたカスタマイズ性の高いOSになるとのことです。
対比されるモノリックカーネルとは違って、カーネル空間には最小限の機能しか残さないため、プログラム間の通信が多く必要になるなど、オーバーヘッドが懸念されます。
その点を考慮してか、HUAWEIのHarmonyOSは他のマイクロカーネルOSよりはるかに高速だと謳っています。
この後の展開が楽しみですね。
感想
Linux用デスクトップ環境KDEにおけるゼロデイ脆弱性
2019年7月28日にLinux用デスクトップ環境KDEにおけるコマンドインジェクションの脆弱性に関する情報が公開されました。
私自身が気づいたのも、以下の記事を見てからでした。
対象となるのは、KDEバージョン4および5です。
加工した「.desktop」「.directory」ファイルを開くもしくは展開することでコードが実行されます。
でも動画がyoutubeで公開されているので、見てみてください。
一応補足しておくと、ここで登場するncコマンドはnetcatと呼ばれるツールで、サーバクライアント間の通信を手軽に行うことができます。
ここでは、-lp のオプションを指定し、攻撃端末側で、listen(待ち受け)モードで、port(31337)で待ち受けています。
31337は攻撃側がバックドアからの通信を待ち受ける際に用いるポート番号で、31337からポートフォワードされ80や443などに転送できます。
なお、KaliLinuxはペネトレーションテストなどで用いられる、攻撃ツールを多く備えたDebianベースのディストリビューションです。
話は長くなりましたが、でも動画ではファイルを攻撃者が用意したサイトからコピーした結果、攻撃者端末側で操作が可能になっています。
最終的にtouchコマンドによって、ファイル作成が出来てしまっています。
現在、修正バージョンである5.61.0が公開されており、別途、本脆弱性の修正パッチも公開されています。
バージョン4向け https://cgit.kde.org/kdelibs.git/commit/?id=2c3762feddf7e66cf6b64d9058f625a715694a00
バージョン5向け https://cgit.kde.org/kconfig.git/commit/?id=5d3e71b1d2ecd2cb2f910036e614ffdfc895aa22
IEにおけるVBScriptがデフォルトで無効に
- 2019年8月の月次アップデートでMSより配布される
- Windows10向けには7月の月次アップデートで対応済み
- VBScriptはレジストリの変更などを行えるスクリプト言語だが、その柔軟性ゆえに悪用されることも多かった
こちら、書いてみたら三行でまとまってしまった感ですが、8月13日のPatchTuesdayで、Internet Explorerにおいて、VBScriptをデフォルトで無効にするとのことです。
とはいってもこの発表自体は2017年時点ですでにされており、実質の猶予期間である2年を過ぎてしまったというところです。
VBScriptはマイクロソフトの独自言語で汎用性に欠けますが、未だに企業システムで使われているケースが多いようです。
というか使われています!(笑) (何かをお察しください)
デフォルトでは無効になりましたが、クループポリシーで有効にすることはできるようです。
色々制約はあるにせよ、本家ですら諦めているものを大事にする根性はいかがなものかと考えてしまいます。
それこそシステムを運用する組織のためになっているのでしょうか。
「手段の目的化」
成熟した組織が陥りがちな思考だと、何かの本で読んだ気がします。
日本を狙うAndroidマルウェア
MoqHao という日本を標的としたフィッシング攻撃のキャンペーンがMcAfeeの記事より明らかになりました。
同攻撃はXLoader(TrendMicro)としてやRoaming Mantis(Kaspersky) としても知られています。
今回の観測では以下のようなセキュリティアプリを装って端末への感染を狙ったようです。
引用元:McAfee
当該マルウェアは、フィッシングサイト経由でダウンロードされるものであると確認されています。
真新しさこそありませんが、思い当たる節があれば対策をとるに越したことはないですね。
ここからは、一週間のまとめなので、ざっと流し読みしていただければと。 量が多くて僕自身もしんどいので、タイトルの流し読み→気になるところは、あとで見ることをおすすめします。
マルウェア・攻撃キャンペーン
Emptiness: A New Evolving Botnet https://t.co/c6rv2ThsVQ
Suspected BITTER APT Continues Targeting Government of China and Chinese Organizations via @Anomali https://t.co/NjY1g62M9U
Varenyky: Spambot à la Française https://t.co/iYObvwH7qZ
MoqHao Related Android Spyware Targeting Japan and Korea Found on Google Play https://t.co/UCFgf8mq5Y
APT41: A Dual Espionage and Cyber Crime Operation https://t.co/7jg9ch2vF4
New Echobot Botnet Variant Uses Over 50 Exploits to Propagate https://t.co/lyAAsfupm8
New Lord Exploit Kit Pushes njRAT and ERIS Ransomware https://t.co/bSaTuTadwL
LokiBot Gains New Persistence Mechanism, Uses Steganography to Hide Its Tracks https://t.co/DFZeyQa1oD
Corporate IoT – a path to intrusion https://t.co/q9JCvlEPGR
ECh0raix Ransomware Decryptor Restores QNAP Files For Free https://t.co/0XO4hFs5lK
NETSCOUT Threat Intelligence Report | NETSCOUT https://t.co/lOMRVEyMYg @NETSCOUTから
Latest Trickbot Campaign Delivered via Highly Obfuscated JS File https://t.co/fPqckvpH0S
Sharpening the Machete https://t.co/01DwpMuZcR
GermanWiper Ransomware Erases Data, Still Asks for Ransom https://t.co/lP7dnLN9de
製品・脆弱性・アップデート関連
Security Advisory for Access Control on QTS https://t.co/deGdB1o2aC
Black Hat 2019 – WhatsApp Protocol Decryption for Chat Manipulation and More - Check Point Research https://t.co/sQDbXgWZ1S
Avaya Deskphone: Decade-Old Vulnerability Found in Phone’s Firmware https://t.co/bQcLBYolDN
Cisco Releases Security Updates for Multiple Products https://t.co/pp6BJr3pit
PowerDNS Authoritative Serverの脆弱性情報が公開されました(CVE-2019-10203)(更新) https://t.co/4LG6kmZXVz
Severe local 0-Day escalation exploit found in Steam Client Services – Ars Technica https://t.co/XRiZ1fERpi
Microsoft changes tack, patches RDP bug after Hyper-V found vulnerable https://t.co/8RVXKhXfVd
High-security locks for government, ATMs hacked by researcher https://t.co/q0GDdKErC0
Zero-Day Bug in KDE 4/5 Executes Commands by Opening a Folder https://www.bleepingcomputer.com/news/security/zero-day-bug-in-kde-4-5-executes-commands-by-opening-a-folder/
Bypassing KPTI Using the Speculative Behavior of the SWAPGS Instruction https://t.co/3G3L5qxDgp
Microsoft, Linux Vendors Fix New SWAPGS Vulnerability in Intel CPUs https://t.co/qYrLyRJxA1
Stable Channel Update for Desktop https://t.co/Aw5qAVc1bA
PowerDNS Authoritative Serverの脆弱性情報が公開されました(CVE-2019-10203) https://t.co/4LG6kmZXVz
Android Security Bulletin—August 2019 | Android Open Source Project https://t.co/N4OlrTAKIl
「PHP」v7.3.8/v7.2.21/v7.1.31でセキュリティに関する問題を修正 ほか - ダイジェストニュース - 窓の杜 https://t.co/1XWHtsGXxQ
インシデント関連
Group sex app leaks locations, pics and personal details. Identifies users in White House and Supreme Court | Pen T… https://t.co/7JKVI15v67
3Fun Dating App Exposes Exact Location of Users and Personal Info https://t.co/BkXFpphTaM
Facebook Sues Two Android App Developers for Click Injection Fraud https://t.co/Hq26M7bzgt @TheHackersNewsから
National Baseball Hall of Fame Hit By Payment Card Stealing Attack https://t.co/UVHkI87Ebb
State Farm Accounts Compromised in Credential Stuffing Attack https://t.co/LRBTkwVY5V
New Homograph Phishing Attack Impersonates Bank of Valletta, Leverages Valid TLS Certificate https://t.co/YMdqMDK2WP
Binance KYC Data Leak — Crypto Exchange Sets $290,000 Bounty On Blackmailer https://t.co/vnZZZwV0rA
Leapfrog Children’s Tablet Owners Should Remove Pet Chat Now https://t.co/n15JbgzyLW
Internet Crime Complaint Center (IC3) | Cyber Actors Use Online Dating Sites To Conduct Confidence/Romance Fraud An… https://t.co/5AwuVagJyc
8chan down after Cloudflare & hosting firms boots it off https://t.co/70yYqCj4Ws
Pakistani Man Bribed AT&T Insiders to Plant Malware and Unlock 2 Million Phones https://t.co/zTxyoyVnWh
The PDF invoice that phished you https://t.co/PwEbsuwWg1
CafePress Data Breach Exposes Personal Info of 23 Million Users https://t.co/xJXmeX9Zy7
SSRF攻撃によるCapital Oneの個人情報流出についてまとめてみた https://t.co/Eb3zWzVPkv
Malicious Plugin Used to Encrypt WordPress Posts https://t.co/99JqeTOj5i @sucurisecurityから
Misconfigured JIRA Servers Leak Info on Users and Projects https://t.co/CAoMNIHC1Q
ビジネス・政治・レポート
北がサイバー攻撃繰り返し、20億ドル入手か…国連報告書 : 国際 : 読売新聞オンライン https://t.co/zeq5G32wRi
LLDBFuzzer: Debugging and Fuzzing the Apple Kernel with LLDB Script https://t.co/ek9dovNcuG
Commando VM 2.0: Customization, Containers, and Kali, Oh My! https://t.co/2WedBAMnro
July 2019’s Most Wanted Malware: Vulnerability in OpenDreamBox 2.0.0 WebAdmin Plugin Enables Attackers to Execute C… https://blog.checkpoint.com/2019/08/08/july-2019s-most-wanted-malware-vulnerability-in-opendreambox-2-0-0-webadmin-plugin-enables-attackers-to-execute-commands-remotely/amp
~正規を利用した隠蔽が進む~ 日本国内での標的型攻撃を分析 https://t.co/RVgBpqV9s8
Twitter says it may have used user data for ads without permission https://t.co/lADOlofTkm
AT&T Launches Public Bug Bounty Program on HackerOne https://t.co/ZRaHZzLhsN
An update on disabling VBScript in Internet Explorer 11 https://t.co/RIm5VlK9UP
NECが空飛ぶ車の浮上実験を実施 2023年の実用化を目指す #ldnews https://t.co/yxd5Op2vU1
DDoS attacks in Q2 2019 https://t.co/ruqvT42krx
1プッシュで商品届く「Amazon Dash Button」、8月末でサービス終了(要約) https://t.co/A2fT1kGqei
Over 95% of the 1,600 vulnerabilities discovered by Google's Project Zero were fixed within 90 days - TechSpot https://t.co/HPDKRMgLhf
最後に
全くIT関係ないんですが、今年の夏は面白そうな映画がたくさんですね!
そういえば、トイ・ストーリーの制作会社ピクサーは、Appleの創業者ジョブズによって独立した会社なんですよね。
先日ピクサーのひみつ展に行った際、クリエイターたちの話を聞いてみて、その技術力の高さに感銘を受けました。
他の映画で言うと、チャイルドプレイのチャッキーは、AIロボットみたいな感じだそうで、技術の倫理的活用について考えさせられる部分もあるのかと思ってます。
他にも、アラジン、ライオンキング、スパイダーマン、ワンピース、天気の子、ミュウツーと色々見てみたい映画はあり。。
興味が子供っぽいような気もしますが、感覚の問題ですからね、こればかりは(笑)
遠出も難しそうなので、お盆休みを有効活用しようと思います。