記事本文(要約)
マイクロソフトは、RansomEXXランサムウェアグループがWindowsの共通ログファイルシステムの高深刻度ゼロデイ脆弱性(CVE-2025-29824)を悪用して、被害者システムでSYSTEM権限を取得していると発表しました。この脆弱性は、ユーザーの介入が不要で、低複雑な攻撃によりローカル攻撃者がSYSTEM権限を得ることが可能になります。今月のパッチ火曜日で修正されましたが、Windows 10の一部のバージョンへのパッチは遅延しています。標的には米国のITや不動産セクター、ベネズエラの金融セクター、スペインのソフトウェア会社、サウジアラビアの小売セクターが含まれています。RansomEXXは、まずPipeMagicバックドアマルウェアを使い、CVE-2025-29824を含む複数のエクスプロイトを展開しています。このグループは以前も高プロファイルな組織を攻撃し、その攻撃の活発化は2020年からと言われています。
※この要約はChatGPTを使用して生成されました。
公開日: Tue, 08 Apr 2025 15:05:17 -0400
Original URL: https://www.bleepingcomputer.com/news/security/microsoft-windows-clfs-zero-day-exploited-by-ransomware-gang/
詳細な技術情報
- CVE番号
- CVE-2025-29824: Windows Common Log File System(CLFS)に存在するゼロデイ脆弱性。
- CVE-2025-24983: Windows Win32 Kernel Subsystemのゼロデイ脆弱性。
- これらの脆弱性を介して、RansomEXXランサムウェアは攻撃を実行しています。
- 脆弱性の仕組み
- CVE-2025-29824は、use-after-free(解放後使用)脆弱性です。これは、プログラムがメモリを解放した後に再度そのメモリにアクセスしようとすることにより、不正な操作や任意のコードが実行される可能性があります。
- 攻撃者はこの脆弱性を利用して、低い特権レベルからSYSTEM特権を取得することができます。
- 攻撃手法
- 1. PipeMagicバックドアのインストール: 最初にこのバックドアマルウェアを使ってシステムを侵害します。
- 2. 脆弱性の悪用: CVE-2025-29824を利用して特権をエスカレート。
- 3. ランサムウェアの展開: ファイルを暗号化し、身代金要求メッセージを表示します。
- 4. データ収集と横移動: PipeMagicはデータを収集し、ネットワーク内で横移動を容易にします。
- 潜在的な影響
- 特権エスカレーション: SYSTEM特権を得ることで、攻撃者はシステムを完全に制御可能になります。
- データ暗号化と経済的被害: ランサムウェアによるデータ暗号化で業務停止を招く可能性があります。
- 情報漏洩: データ収集により、機密情報が流出するリスクがあります。
- 推奨される対策
- 1. セキュリティアップデートの適用: Microsoftが提供する最新のパッチをすぐに適用することが重要です。特にWindows 11, version 24H2以外のOSを使用している場合は早急な対応が必要です。
- 2. バックアップの実施: 定期的なデータバックアップにより、ランサムウェア攻撃後の回復が迅速に行えます。
- 3. ネットワーク監視と異常検知: 不審なアクセスや活動を検知するための監視ソリューションを導入しましょう。
- 4. アクセス制御の強化: 不要な特権を持つユーザーアカウントを削除し、最低限の権限付与を徹底します。
- 5. セキュリティ意識の向上: 従業員への教育を通じて、フィッシング攻撃や不審なメールへの対応を強化します。
- まとめ
- RansomEXXランサムウェアによる脆弱性の悪用は深刻な影響を及ぼす可能性があります。適切な対策と迅速なセキュリティパッチの適用により、組織のセキュリティを強化し、被害を未然に防ぎましょう。
