2020.09.04

アナリスト・チョイス 2020年8月

NEWS

Analyst’s Choice

 

「アナリスト・チョイス」では、弊社インテリジェンスアナリストが注目の記事をピックアップし、そこで取り上げられた脆弱性やマルウェアなどの脅威情報に対する洞察・ソリューションなどをコメントしています。

 

アナリスト:Rory Morrissey (Intelligence Architect@Machina Record)

 

Articles

BootHole欠陥によるLinuxやWindowシステムへの影響
FBIがWindows 7の警告を出す
Chromeブラウザの脆弱性で数百万のサイトが危険な状態に

 

 

BootHole欠陥によるLinuxやWindowシステムへの影響

・Eclypsium の研究者は、ほとんどの Linux システムで使用されている GRUB2 ブートローダに存在する、BootHole(CVE-2020-10713) という欠陥を特定しました。この脆弱性は、Secure Boot を有効にしている場合でも動作し、ブートプロセス中に任意のコードを実行することができます。

・バッファオーバーフローの脆弱性は、攻撃者がブートプロセスを変更したり、マルウェアを実行したり、OSカーネルに直接パッチを当てたりすることを許してしまう可能性があります。

この問題は、「標準の Microsoft Third Party UEFI 認証局を使用した Secure Boot」を使用している Windows デバイスにも影響を与えると研究者は警告しています。

出典:https://eclypsium.com/2020/07/29/theres-a-hole-in-the-boot/?_hsmi=92323970&_hsenc=p2ANqtz-8JYNBfxDcd9XYFfaStdTxjxf86u9oFW5TrEAhwzj8b7Eo-bHum8_B-MZ_iKc9YFspt_5eh60qBy3L4lakZAJnKXfSGTw

 

Analyst’s Comments

影響範囲:

GRUB2ブートローダやMicrosoft UEFIセキュアブートの未パッチ版を使用しているLinuxやWindowsのOSを使用している企業やユーザー。また、保護されたブートローダを脆弱なものと交換される可能性もあります。

見解:

攻撃者がデバイス上で積極的に悪用していない限りこの脆弱性は、気づくことが非常に困難なアクセスを付与します。この脆弱性は主な攻撃としてだけでなく、攻撃者がシステム上のファイルを変更する能力を得る他の攻撃においても、攻撃者側で秘密裏に実装されているものとして活用することができます。

対策:

      1. まずすぐに、ブートローダパーティション(EFI システムパーティション)の内容の監視を開始してください。これにより、残りのプロセスの時間を稼ぎ、環境内の影響を受けるシステムを特定するのに役立ちます。Eclypsium ソリューションをデプロイした人は、デバイスの “MBR/Bootloader” コンポーネントの下でこの監視を見ることができます。
      2. デスクトップ、ラップトップ、サーバー、アプライアンスのOSアップデートを通常通りインストールしてください。攻撃者は、OSやアプリケーションの特権昇格の欠陥を利用してこの脆弱性を利用することができるため、システムへの管理者レベルのアクセスを防ぐことが重要です。この後もシステムは脆弱性を保っていますが、これは必要な最初のステップです。一度失効アップデートが後からインストールされると、古いブートローダは動作しなくなるはずです。これには、レスキューディスク、インストーラ、エンタープライズゴールドイメージ、仮想マシン、またはその他の起動可能なメディアが含まれます。
      3. 失効リストの更新をテストしてください。現場で使用されているファームウェアのバージョンやモデルと同じものを具体的にテストするようにしてください。テストケースの数を減らすために、最初に最新のファームウェアにアップデートしておくとよいでしょう。
      4. この脆弱性を保護するには、失効アップデートを展開する必要があります。すべての起動可能なメディアが最初にOSアップデートを受けたことを確認し、一度に少数のデバイスのみにゆっくりと展開し、テストから得た教訓をこのプロセスの一部として取り入れてください。
      5. 第三者ベンダーがこの問題を認識し、対応していることを確認するために働きかけます。第三者ベンダーは、提供するサービス/ソリューションへの適用性と、脆弱性の修復措置の計画についての回答を提供するべきです。

原文:

Who’s Affected:

Companies and users with Linux and Windows operating systems that use the unpatched version of GRUB2 bootloader or Microsoft UEFI secure boot. It is also possible to have a secure bootloader maliciously swapped for a vulnerable one.

Observations:

This vulnerability grants attackers persistence on a device that is otherwise very difficult to notice when not actively being abused. This can be leveraged not just as a main attack but also something attackers implement secretly on the side in any other attack where they gain the ability to modify files on a system.

Mitigation Strategies: 

      1. Right away, start monitoring the contents of the bootloader partition (EFI system partition). This will buy time for the rest of the process and help identify affected systems in your environment. For those who have deployed the Eclypsium solution, you can see this monitoring under the “MBR/Bootloader” component of a device.
      2. Continue to install OS updates as usual across desktops, laptops, servers, and appliances. Attackers can leverage privilege escalation flaws in the OS and applications to take advantage of this vulnerability so preventing them from gaining administrative level access to your systems is critical. Systems are still vulnerable after this, but it is a necessary first step. Once the revocation update is installed later, the old bootloader should stop working. This includes rescue disks, installers, enterprise gold images, virtual machines, or other bootable media.
      3. Test the revocation list update. Be sure to specifically test the same firmware versions and models that are used in the field. It may help to update to the latest firmware first in order to reduce the number of test cases.
      4. To close this vulnerability, you need to deploy the revocation update. Make sure that all bootable media has received OS updates first, roll it out slowly to only a small number of devices at a time, and incorporate lessons learned from testing as part of this process.
      5. Engage with your third-party vendors to validate they are aware of, and are addressing, this issue. They should provide you a response as to its applicability to the services/solutions they provide you as well as their plans for remediation of this high rated vulnerability.

 

FBI、Windows 7について警告

・米連邦捜査局(FBI)は、民間のパートナー企業に宛てた通知の中で、Windows 7を搭載したデバイスがサイバー攻撃を受けやすい可能性があると警告しました。Windows 7は、2020年1月14日に寿命を迎えています。

この通知では、Windows 7 システムに対するリスクは、より多くの欠陥が特定されるにつれて、時間の経過とともに増加すると警告しています。

FBIは、Windows XPのようにOSがサポート終了になると、ヘルスケア業界への攻撃が増えたと述べています。

出典:https://www.bleepingcomputer.com/news/security/fbi-networks-exposed-to-attacks-due-to-windows-7-end-of-life/?_hsmi=92665618&_hsenc=p2ANqtz–crKGnrwERluHRnlxfGG5D5EcMhSg9Q3qgVUZ3Fc0rb9eDBDydVkw7eh2VxSKkAH1FHUZ8mYzV6_GawTQc1mSwo7o-UQ

 

Analyst’s Comments

影響範囲:

2020年1月14日以降、Windows 7 OSを実装している企業や個人ユーザー。

見解:

これは決して新しいタイプのインシデントではありません。しかし、完成したプロダクトが利用可能な状態を維持するためには、ソフトウェア企業が活発に資源を投入しなくてはならないことを再認識させてくれます。たとえソフトウェアがまだ利用可能であっても、いずれサポートは終了します。これにより、こうしたソフトウェアは簡単に対処できたはずの攻撃に対して脆弱になるのです。

ソフトウェアを新たなバージョンへアップグレードすることは、高い先行投資のコストを伴うかもしれません。しかしこうしたコストは、防げたかもしれない攻撃による損害と比べれば、微々たるものです。

対策:

Windows 7を利用する機器をお持ちの場合は、Windows 10へ移行させましょう。Windows 7は、もはやかつてのような重要なアップデートを受け取ることはなく、時が経つにつれて保護することがますます難しくなります。加えて、可能な限り小さな稼働停止とコストでアップグレードや撤去ができるよう、自分の他のデバイスが「サービス終了」の寿命を迎える時期について、リストとプランを作成しましょう。

 

原文:

Who’s Affected:

Companies and users running the Windows 7 operating system post January 14th, 2020.

Observations:

While by no means a new type incident, it’s an important reminder that software companies must actively spend resources on keeping a finished product viable. At some point, they will no longer do so even if the software is still useful, which leaves that software vulnerable to attacks that might otherwise have been easily fixed. 

Upgrading software to newer supported versions may have high upfront costs but those costs can be paltry in comparison to the damage of an attack that it could have prevented.

Mitigation Strategies:

Transition your Windows 7 machines to Windows 10. Windows 7 no longer receives the critical updates it once did making protecting these machines more difficult as time passes. Also create a list and plan for when your other devices reach their “end of service” lifetimes so they can be either be upgraded or removed with as little downtime and cost as possible.

 

Chromeブラウザの脆弱性で数百万のサイトが危険な状態に

セキュリティ研究者のGal Weizman氏は、Chrome、Opera、EdgeなどのChromiumベースのブラウザに影響を及ぼすゼロデイ脆弱性を発見しました。これにより攻撃者は、コンテンツセキュリティポリシー(CSP) ルールを完全にすり抜けられる可能性があります。影響を受けるのはChromeのバージョン73から83までで、ユーザーにはバージョン84以上へのアップデートが推奨されます。

CVE-2020-6519として追跡されるこの欠陥の意味するところは、ブラウザがWebサイト内のあらゆる望まないコードにCSPの特権昇格を許すということです。 攻撃者は悪意のスクリプトがサイトから呼び出されることを確実にする必要があるため、この欠陥の深刻度は中程度と評価されています。

しかしWeizman氏は、サイトが頼るセキュリティメカニズムに存在する欠陥は「極めて危険」となり得ると警告しています。彼は、Facebook、WellsFargo、Gmail、Zoomなどの主要なサイトが影響を受け、推定25億人のユーザーに波及していると指摘しています。また、保護されていないWebサイトがもっと多く存在するかもしれないと推測しています。

出典:https://www.perimeterx.com/tech-blog/2020/csp-bypass-vuln-disclosure/?_hsmi=93015169&_hsenc=p2ANqtz-8ZfQUG52rvT4Ju2SnOws9Ipwb662rEwK39fUtgrstWEZayKicqSjYQ24XrOqc4e_DwEIlOxHgnIosLkQuTRBtXvfvZhQ

 

Analyst’s Comments

影響範囲:

直接的にはWebサイト所有者が、間接的にはこうしたWebサイトを脆弱なChromeベースブラウザで訪れる、数百万人のユーザーが影響を受けます。

見解:

本脆弱性は、悪意のコードを脆弱なWebサイトで最初に実行する能力を必要とします。しかし最終的には、比較的新しいバージョンのソフトウェアを利用している可能性があるユーザー、および通常なら信頼性のあるWebサイトを訪れるユーザーを侵害することが可能です。こうしたユーザーは消費者とは限らず、従業員であるかもしれないため、本脆弱性が与え得る損害は広範囲に渡ります。

対策:

インターネットに接続された全ての企業ハードウェアにおいて、頻繁かつ習慣的にソフトウェアをアップデートする。

自分のCSPポリシーが十分明確であることを確かめる。

Nonceやhashといったセキュリティレイヤーの追加を検討する。これにはサーバーサイドの実装がいくつか必要になります。

ほとんどのWebサイトがCSPだけでは不十分なので、追加のセキュリティレイヤーの導入をご検討ください。

Webページのコードインジェクションをリアルタイムで緩和するため、Shadow CodeをJavaScriptベースで検出および監視することを、ご検討ください。

 

原文:

Who’s Affected:

This vulnerability directly impacts website owners and indirectly impacts the millions of users that visit those websites with the vulnerable chrome based browsers.

Observations:

While this vulnerability requires the ability to first execute malicious code on a vulnerable website, it ends up being able to compromise users who may be running newer versions of software and who are visiting normally trusted websites. Those users can be not only customers but also employees, giving this vulnerability a wide reach in the damage it can inflict.

Mitigation Strategies:

・Frequent and routine software updates to all internet connected company hardware.

Ensure your CSP policies are well defined

Consider adding additional layers of security such as nonces or hashs. This will require some server-side implementation.

CSP alone is not enough for most websites so, consider adding additional layers of security

Consider JavaScript-based detection and monitoring of Shadow Code for real-time mitigation of web page code injection.

 

 

CONTACT

お問い合わせ

サイバーインテリジェンスに関する詳細等、
お気軽に お問い合わせください。