2020.08.06

アナリスト・チョイス 2020年7月

Analyst Choice

Analyst’s Choice

 

「アナリスト・チョイス」では、弊社インテリジェンスアナリストが注目の記事をピックアップし、そこで取り上げられた脆弱性やマルウェアなどの脅威情報に対する洞察・ソリューションなどをコメントしています。

 

アナリスト:Rory Morrissey (Intelligence Architect@Machina Record)

 

Articles

IntelのGraphics Accelerator DriverとAMD Radeonドライバに複数の欠陥が発見される
「Meow」攻撃、公開されたデータベースを削除

 

 

IntelのGraphics Accelerator DriverとAMD Radeonドライバに複数の欠陥が発見される

・Cisco Talosの研究者は、Intel Graphics Accelerator DriverとAMD Radeon DirectX 11 Driverに多数の欠陥があることを確認しました。これらの欠陥は、ユーザーデバイスの遠隔操作につながる可能性があるようです。また研究者は、Hyper-VのRemoteFX機能がIntel製品とAMD製品の両方に影響を与え、Hyper-Vのゲストからホストへのエスケープを実行するために使用される可能性があることを発見しました。

出典:https://blog.talosintelligence.com/2020/07/vuln-spotlight-intel-amd-microsoft-july-2020.html

 

Analyst’s Comments

影響範囲:

Intelの内臓・単体GPUおよびAMD Radeonベースのグラフィックスハードウェアを搭載したマシン

見解:

攻撃は思わぬ場所からやってくる可能性があります。この記事のタイトルは警鐘のようには聞こえませんが、ほぼすべてのPCにはIntelやAMDベースのグラフィック処理ユニットが搭載されています。最近のCPUゼロデイの「Meltdown」や「Spectre」のように、コンピュータはソフトウェアをダウンロードしたりインストールしたりしなくても危険にさらされています。さらにこれらの欠陥は、攻撃者が仮想マシンからホストマシンに逃げることを可能にしますが、これはほとんどのマルウェアでは通常不可能です。

対策:

これらの欠陥は遠隔で悪用される可能性があり、インターネットに接続されている限り危険です。

7月下旬の時点で、Microsoftは社内の問題を修正するためにRemoteFX vGPUを無効にしており、AMDはこの問題に対するパッチをリリースしていましたが、Intelはまだ対応していませんでした。すべてのソフトウェアを最新の状態に保ち、使用していない機能を無効にすることは、攻撃者がこの欠陥を悪用することを防ぐための最良の戦略です。

 

原文:

Who’s Affected:

Machines running integrated and non integrated Intel and AMD Radeon based graphics hardware.

Observations:

Attacks can come from the most unsuspecting of places. While the title of this article doesn’t sound alarming, almost all PCs contain an Intel or AMD based graphics processing unit. Like the recent CPU zero-days “Meltdown” and “Spectre”, computers are at risk without even having downloaded or installed software. Additionally these flaws allow for the possibility of an attacker escaping a virtual machine to the host machine, which is usually impossible for most malware.

Mitigation Strategies: 

These flaws are potentially exploitable remotely meaning if you’re connected to the internet, you’re at risk.

As of late July Microsoft disabled RemoteFX from the vGPU to fix the issue on Microsoft’s side, AMD released patches for the issue, but Intel had yet to respond. Keeping all software up to date and disabling features that you aren’t using is typically the best strategy for preventing an attacker from leveraging this flaw against you.

 

「Meow」攻撃、公開されたデータベースを削除

Meow」と呼ばれる新しい攻撃は、保護されていないElasticsearchとMongoDBインスタンスの内容を一掃するもので、すでに数十のデータベースが影響を受けています。セキュリティ研究者のボブ・ディアチェンコ氏によると、攻撃には自動化されたスクリプトが使用されており、「データを全て上書きしたり、破壊する」ことができるようです。

実際にこの攻撃は、公開されたUFO VPNに属するデータベースを標的にし、ディアチェンコ氏が発見した後、データベースは保護されました。しかし、5日後に再び同データベースは公開され、その後、ほぼ全ての記録が消されました。

攻撃の動機は不明です。BleepingComputerは、ネット自警団がショップ運営者にセキュリティの教訓を教えようとしている可能性を示唆しています。

出典:https://www.bleepingcomputer.com/news/security/new-meow-attack-has-deleted-almost-4-000-unsecured-databases/

 

Analyst’s Comments

影響範囲:

ElasticsearchおよびMongoDBを使用する企業

見解:

この記事によると、データ破壊を引き起こす以外の犯行動機は何ら見当たらないとのことです。しかし、この脅威アクターが破壊前にデータベースから情報を収集している可能性はあります。

対策:

その可能性に備え、影響を受けた企業はランサムウェア対策やデータ漏洩対策の際に行うであろう、必要不可欠な準備を実施すべきです。

 

原文:

Who’s Affected:

Companies using Elasticsearch and MongoDB

Observations:

Though the article suggests that there doesn’t seem to be any other motive other than causing data destruction, it is possible that this threat actor is collecting the information from the databases before destroying it.

Mitigation Strategies:

If so, affected companies should take the necessary preparations that they would for ransomware or data leak mitigation.

Uncompromised companies should double check their Elasticsearch and MongoDB security to make sure they’re using best security practices. If the attacker is currently only trying to teach a lesson to database administrators, failing to learn that lesson could result in a more serious attack.

 

 

CONTACT

お問い合わせ

サイバーインテリジェンスに関する詳細等、
お気軽に お問い合わせください。