みっきー申す

ITに関する興味関心のまとめ、サイバーセキュリティニュースのまとめ、Twitter(https://mobile.twitter.com/microkeyword)で配信中の情報まとめなどを公開します

今週のIT・サイバーニュースまとめ(20190811-20190817)

今週の総括


マイクロソフトの月次アップデートに関する話題を始め、今週は脆弱性に関する話題がとても多かったです。

Bluekeepの類似脆弱性に関しては、簡単な記事を書いたので、以下をご参照ください。

micro-keyword.hatenablog.com

DEFCONで展示があった、iphoneのケーブルに小さなWi-Fiモジュールを埋め込みハッキングを行える、以下の記事なんかも面白かったですが、感想を書くのは保留にしました。

www.hackread.com

jp.techcrunch.com

ちょうど私自身風邪を引いてしまったようで、現在ダウン中です。。

風邪はストレスなどの免疫力の低下で起きるものらしいです。

私自身社会人になる前まではほとんど風邪引かなかったので、とりあえず日本の社会のせいにしておきます(笑)

風邪引く人が少ない職場がいい職場?

まぁそんなこともないですかね(笑)


感想

XP時代から存在する20年ものの脆弱性が公表される


  • 脆弱性は「Text Service Framework(TSF)」内にある「MSCTF」というモジュールに関するもの
  • 権限昇格の脆弱性

現地時間の2019年8月13日に、googleのセキュリティチーム、Project Zeroによって本脆弱性は発見されました。

https://bugs.chromium.org/p/project-zero/issues/detail?id=1859

影響を受けるOSは、Windows XP以降すべてのバージョンを含む(もちろんWindows10も)。

脆弱性の修正バージョンおよびパッチは8月の月次アップデートで公開されています。

ただし、公式のアドバイザリーを見る限り、サポート対象になっているOSのみが対応されており、XPなど、サポート切れのOSの修正パッチはリリースされていないようです。

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1162

今回脆弱性が確認された、MSCTFはWindowsOSのText Services Framework (TSF)に存在するものです。

MSCTFによって、キーボードの入力情報やレイアウト、テキストの生成や文字の認識などを行うTSFにおける制御を行うことができます。

MSCTFは、Windowsにログインすると自動的にctfmon.exeというサービスを開始し、アプリケーションとカーネルとを繋ぐ動作をします。

ただし、認証や認可の機能が実装されていないため、脆弱であるというのが今回の発表でした。

脆弱性の悪用により、UIPIという権限分離の機構を回避できてしまうため、結果として、以下のような権限を無視した行為が行えてしまいます。

  • 他のアプリケーションが動作する別のウィンドウから機微な情報(パスワードなど)が読み込めてしまう
  • システム権限が奪取できる
  • UACのダイアログのコントロールを得ることで、管理者コンソールへコマンドを送りつけたりサンドボックスを回避できる

以下にシステム権限取得のデモ動画が公開されているので、ご参考までに。

youtu.be


ランサムウェア感染を可能にするCanonデジタルカメラ脆弱性について



2019年8月11日、CheckPoint社よりCanon製カメラにランサムウェアを感染されることが可能な実証記事を公開しました。

research.checkpoint.com

本記事では、画像転送プロトコル(PTP)経由でCanonデジタルカメラランサムウェア攻撃が可能な脆弱性があることを言及しています。

本記事が公開される1週間ほど前に、Canonからも脆弱性に関する情報とファームウェアのアップデートに関する情報が公開されています。

global.canon

cweb.canon.jp

なお、上記に関して対象となる国内製品は以下です。

脆弱性は、EOSシリーズ(デジタル一眼レフカメラ/ミラーレスカメラ)および、一部のコンパクトデジタルカメラが対象となります。 ※一部のコンパクトデジタルカメラとは、PowerShot G5 X MarkII、PowerShot SX70 HS、PowerShot SX740 HS となります。

CheckPoint社より脆弱性の実証動画が公開されているので、ご参考までにご覧下さい。

youtu.be


ここからは、一週間のまとめなので、ざっと流し読みしていただければと。 量が多くて僕自身もしんどいので、「タイトルの流し読み」→「気になるところは、あとで見る」をおすすめします。

マルウェア・攻撃キャンペーン


製品・脆弱性・アップデート関連


インシデント関連


最後に

先週、映画が~みたいな話をしてたかと思いますが、結局、3本ほど映画見ました。

トイ・ストーリーと天気の子とONE PIECE

ONE PIECEが一番面白かったかなー(笑)

トイ・ストーリーと天気の子は作者のこだわりは感じた一方で、どうも個人的には前作を引きずってしまっていました。

最近動画見ながら「どうやって編集してるんだろう」とか「このアングルはどうやって思い付いてるんだろう」とかを考えるのも楽しいです。

映像編集って趣味も面白そうだなと思う、今日この頃でした。