ゼロデイ脆弱性 – デジタル未来 (Dejitaru Mirai)

7-Zipの0-day脆弱性がウクライナ侵攻の一環として悪用される

deji — Thu, 06 Feb 2025 11:22:52 +0000

最近、コーディング解析者によって、7-Zipアーカイブユーティリティにおけるゼロデイ脆弱性が発見され、これはロシアのウクライナ侵攻に関連して悪用されています。この脆弱性により、特定のロシアのサイバー犯罪グループが、インターネットからダウンロードされたファイルの実行を制限するWindowsの保護機能を無視することを可能にしました。この防御策は、マーク・オブ・ザ・ウェブ（MotW）として知られ、インターネットからダウンロードされたすべてのファイルに「Zone.Identifier」タグを付けることで機能しています。このタグは、ファイルがWindows Defender SmartScreenからの追加の審査を受け、制限をかけられるようにするためのものです。

7-Zipの脆弱性は、ロシアのサイバー犯罪グループがこれらの保護を回避できるように、アーカイブ内に実行可能ファイルを埋め込み、さらにそのアーカイブを別のアーカイブに埋め込む方法で悪用されました。外側のアーカイブにはMotWタグが付いている一方、内側のアーカイブにはそのタグが付いていなかったのです。この脆弱性はCVE-2025-0411として追跡されており、2025年11月にリリースされたバージョン24.09で修正されました。

CVE-2025-0411の根本的な原因は、バージョン24.09以前の7-Zipが二重カプセル化されたアーカイブの内容にMotW保護を正しく伝播できていなかったことです。これにより脅威アクターは、悪性スクリプトまたは実行可能ファイルを含むアーカイブを作成し、それらがMotW保護を受けず、Windowsユーザーが攻撃に対して脆弱になるという状況を生み出しました。

攻撃をより見えにくくするために、実行可能ファイルの拡張子はホモグリフを使用して表示されました。ホモグリフとは、見かけ上同一または類似に見えるが、異なるエンコーディングスキームに属している文字のことです。例として、キリル文字のСが挙げられます。これはASCII文字のCに似ていますが、全く別のものであり、長年ハッカーによりドメインの詐称などに利用されています。

7-Zipのゼロデイ脆弱性を悪用している脅威アクターは、ホモグリフを類似の方法で使用し、実行可能ファイルを文書ファイルのように見せかけました。攻撃を受けたのは、実際のウクライナ政府機関からの真の侵害されたアカウントから送信された二重アーカイブファイルが添付されたメールでした。これらの攻撃のターゲットとなった機関には、具体的な組織名がいくつか挙げられています。

7-Zipを使用しているすべてのユーザーは、特にWindowsで使用している場合は、最新のバージョンである24.09を使用していることを確認してください。これにより、潜在的な攻撃から自身を保護することができます。

ハッカーが披露した驚異のゼロデイ脆弱性、58万ドルの報酬を獲得

deji — Fri, 25 Oct 2024 00:08:32 +0000

2024年のPwn2Ownアイルランド大会の2日目に、ホワイトハットハッカーたちが驚異的な51件のゼロデイ脆弱性を披露し、総額358,625ドルの現金賞を獲得しました。この大会は、セキュリティ研究者たちがソフトウェアやモバイルハードウェアデバイスを対象にハッキングスキルを競い合い、”Master of Pwn”の称号や100万ドルの賞金を目指すコンペティションです。2日目を迎えたPwn2Ownでは、Viettelサイバーセキュリティチームが強いリードを維持し、注目のパフォーマンスを見せました。

ANHTUDのファム・トゥアン・ソンとExLuckは、Canonのプリンターをスタックベースのバッファオーバーフローを用いて攻撃し、1万ドルと2ポイントを獲得。続いて、NCC Groupのケン・ギャノンが、パスのトラバーサルを含む5つのバグを組み合わせてSamsung Galaxy S24を攻撃し、5万ドルと5ポイントを得ました。この攻撃によって、彼はAndroidデバイスにアプリをインストールし、シェルアクセスを取得しました。さらに、ViettelのDungdmは、Sonos Era 300スマートスピーカーをUse-After-Free脆弱性を使って制御し、3万ドルと6ポイントを追加しました。変わってチームCluckのクリス・アナスタシオとファビウス・ワトソンは、CRLFインジェクションを含む2つの脆弱性を連鎖させてQNAP TS-464 NASを攻撃し、2万ドルと4ポイントを獲得しました。

また、Reverse Tacticsのコレンサン・バイエは、過去に使用されたバグを含む一連の攻撃でQNAP QHora-322ルーターを狙い、41,750ドルと8.5ポイントを得ることに成功しました。この日の競技では、同じ脆弱性を使った他の研究者との衝突も発生し、いくつかのデバイスには制限時間内に攻撃が失敗する場面も見られました。TenableとSynactivはそれぞれLorex 2KとSynology BeeStationデバイスのハッキングで、衝突の影響を受けて賞金が減少し、ポイントも少なくなりました。

それでも、Pwn2Own大会はまだ半ばに過ぎず、参加者たちは残り2日間でさらに高い順位を目指します。これまでに研究者たちは合計103件のゼロデイ脆弱性を攻撃し、87万ドル以上の賞を得ており、大会の熱気は衰えることがありません。

ハッカーたちがPwn2Ownアイルランドで52のゼロデイ脆弱性を公開し大金を獲得

deji — Thu, 24 Oct 2024 00:04:13 +0000

Pwn2Ownアイルランドの初日となる2024年、このイベントでは参加者たちが様々なデバイスに対して52のゼロデイ脆弱性を示し、総額486,250ドルの賞金が授与された。最も目を引いたのは、ベトテルサイバーセキュリティが先発して13ポイントを獲得し、「マスター・オブ・ポウン」の称号を狙いを定めたことだ。彼らのメンバーであるphudqとnamnpは、Lorex 2K WiFiカメラに対するスタックベースのバッファオーバーフロー脆弱性を利用し、30,000ドルと3ポイントを獲得した。

また、Summoning TeamのSina Kheirkhahは、QNAP QHora-322ルーターからTrueNAS Mini Xデバイスへの9つの脆弱性を連鎖的に利用し、100,000ドルの賞金と10ポイントを手に入れ、注目を浴びた。続いてRET2 SystemsのJack Datesは、Sonos Era 300スマートスピーカーに対するアウトオブバウンズ（OOB）書き込みを成功させ、60,000ドルと6ポイントを獲得し、デバイスの完全な制御を実現した。

さらに、ベトテルサイバーセキュリティは、QNAP QHora-322ルーターからTrueNAS Mini Xに再度攻撃を行い、4つの新しいバグを組み合わせてさらに50,000ドルと10ポイントを賭けた。初日には様々な挑戦と部分的な失敗もあったが、Pwn2Ownの初日にはハイステークスなハッキングと賞金が詰まっており、今後の3日間には完全にパッチされているSOHOデバイスに対する脆弱性を利用することが求められる。これにはプリンター、NASシステム、WiFiカメラ、ルーター、スマートスピーカー、さらにはSamsung Galaxy S24などが含まれる。総額100万ドルの賞金プールが用意されている。

この競技会の成功を願うとともに、参加した競技者たちに感謝を表したい。今後の挑戦にも期待が高まる。