Bkav の専門家は、Windows の 4 つの脆弱性が攻撃チェーンで悪用される可能性があると述べました。 具体的には、リモート コード実行エラー 2 件、特権昇格エラー 1 件、セキュア ブート セキュリティ機能バイパス エラー 1 件です。 理想的な条件下では、ハッカーは 4 つの脆弱性を組み合わせて完璧な攻撃チェーンを形成できます。 Microsoft は 5 月のパッチ (火曜日のパッチ) でこれらのバグを修正しました。 大規模な攻撃を避けるために、ユーザーは直ちにアップデートする必要があります。

1 つ目の脆弱性 (ID CVE-2023-29325) は、Windows 上の OLE (Object Linking & Embedding) テクノロジにおけるリモート コード実行のバグで、Outlook に影響します。 悪用するために、ハッカーは悪意のあるフィッシングメールをユーザーに送信します。 被害者が Outlook ソフトウェアで電子メールを開くか、Outlook アプリケーションが電子メールのプレビューを表示する限り、攻撃者はリモートでコードを実行し、デバイスを完全に制御することができます。

2 番目の脆弱性 CVE-2023-29336 は、オペレーティング システムの Win32k カーネル ドライバーにおける権限昇格のバグです。 悪用に成功すると、攻撃者はユーザーを SYSTEM 権限 (オペレーティング システムの最高権限) に昇格させ、ターゲット デバイスに悪意のあるコードを埋め込み、アクセスを維持する可能性があります。 この脆弱性は現在、ライブ攻撃で悪用されています。

3 番目の脆弱性 CVE-2023-24932 により、ハッカーはセキュア ブート機能をバイパスできます。 悪用するために、ハッカーはターゲットデバイスの管理者権限を「失う」か取得する方法を見つけ、それによって悪意のあるブートキットコードをシステムファームウェア（ファームウェア）にインストールします。 このブートキットを使用すると、ハッカーがデバイスのブート プロセスを制御し、その領域に長く留まり、セキュリティ ソリューションによる検出を回避できるようになります。

最も危険なのは CVE-2023-24941 リモート コード実行の脆弱性 (CVSS 重大度スコア 9.8/10) で、ハッカーが他のシステムを深く攻撃する足掛かりとなる可能性があります。 この脆弱性は、Windows ネットワーク ファイル システム (NFS) ネットワーク ファイル共有プロトコルに存在します。 認証されていない攻撃者は、特別に作成したコマンドを NFS サービスに送信し、Windows サーバーを制御する可能性があります。 CVE-2023-24941 は Windows Server 2012、2016、2019、および 2022 に影響し、特にユーザーの操作は必要ありません。

Bkav のサイバーセキュリティ ディレクター、グエン ヴァン クオン氏は次のようにコメントしました。攻撃手順の実行に成功すると、ハッカーはシステム全体を制御し、機密情報を盗むことができます…特に、CVE の脆弱性 – 2023-29325 はユーザーを被害者になる危険にさらします。フィッシングキャンペーンのこと。 この形式の攻撃は非常に簡単で低コストであり、大規模に実行できるため、影響は非常に大きくなります。

「理想的な条件下では、攻撃者はこれら 4 つの脆弱性を組み合わせて一連の攻撃を形成する可能性があります。まず、被害者を騙してなりすましメールをクリックさせて CVE-2023-29325 を悪用し、ネットワークを制御します。ターゲットデバイスです」とクオン氏は語った。

次に、ハッカーは CVE-2023-29336 を介して権限をユーザー レベルからシステム権限に昇格させ、マルウェアに感染してデバイスへのアクセスを維持します。

デバイス上でハッカーが見つかると、CVE-2023-24932 によるセキュア ブート セキュリティ機能を悪用し、マルウェアをインストールし、被害を受けたシステム上でその存在を維持することができます。

最後に、CVE-2023-24941 を利用して Windows Server をさらに詳しく調べます。

したがって、Bkav はユーザーに対し、Windows オペレーティング システムを直ちに最新バージョンに更新することを推奨しています (アップデートパッチはこちら）。 同時に、ユーザーは送信元不明の奇妙なメールを開かないでください。システムに異常が検出された場合は、専門チームに連絡して調査し、対処する必要があります。