記事本文(要約)
Microsoftは、Windowsの共通ログファイルシステム(CLFS)に影響を及ぼすセキュリティの脆弱性(CVE-2025-29824)が、特定の標的に対するランサムウェア攻撃でゼロデイとして利用されていたことを明らかにしました。攻撃対象には、米国のITや不動産業界、ベネズエラの金融業、スペインのソフトウェア会社、サウジアラビアの小売業が含まれます。この脆弱性は、CLFSの特権昇格バグで、Redmondが2025年4月のPatch Tuesdayで修正しました。
攻撃者は「Storm-2460」活動として追跡され、マルウェア「PipeMagic」を使ってエクスプロイトとランサムウェアのペイロードを配信しています。攻撃の初期アクセス手段は不明ですが、certutilユーティリティを利用して不正なMSBuildファイルをダウンロードし、PipeMagicでさらなる攻撃を行っています。
この脆弱性(CVE-2025-29824)は、Windows 11バージョン24H2には影響せず、攻撃者は最終的にLSASSのメモリをダンプし、暗号化したファイルとランサムノートを残すとされています。Microsoftはランサムウェアのサンプルを取得できませんでしたが、RansomEXXランサムウェアファミリーに関連するTorドメインが使用されていたことを確認しています。
※この要約はChatGPTを使用して生成されました。
公開日: Wed, 09 Apr 2025 13:34:00 +0530
Original URL: https://thehackernews.com/2025/04/pipemagic-trojan-exploits-windows-clfs.html
詳細な技術情報
- CVE番号
- CVE-2025-29824: Windows Common Log File System (CLFS)における特権昇格の脆弱性。これは、攻撃者がSYSTEM権限を取得するために悪用されました。この脆弱性は2025年4月のPatch Tuesdayアップデートで修正されました。
- 脆弱性の仕組み
- CLFSカーネルドライバーのメモリ破損: 攻撃者はCLFSのカーネルドライバーの脆弱な部分を利用して、プロセスのトークンを上書きし、全ての特権を取得することができます。特に、`RtlSetAllBits` APIを使用して、プロセスのトークンを0xFFFFFFFFに書き換え、SYSTEMプロセスへのプロセスインジェクションを許可します。
- 攻撃手法
- 1. 初期侵入経路: 現時点で明確ではありませんが、脅威アクターは、偽装された第三者サイトから`certutil`ユーティリティを使ってマルウェアをダウンロードしました。
- 2. MSBuildを介したペイロードの復号化と実行**: 悪意のあるMSBuildファイルにより、暗号化されたペイロードが解凍され、プラグインベースのトロイの木馬である`PipeMagic`が起動されます。
- 3. トークン上書きと特権取得: CLFSの脆弱性を利用してトークンを上書きし、SYSTEM権限を取得します。
- 潜在的な影響
- 攻撃者が特権を昇格させ、SYSTEM権限を得ることで、システム全体に対する高度な操作やデータの暗号化(ランサムウェア攻撃)が可能となります。実際の攻撃では、LSASSのメモリダンプを通じてユーザーの資格情報を抽出したり、システムのファイルをランサムウェアで暗号化したりする手法が用いられました。
- 推奨される対策
- 1. パッチ適用: CVE-2025-29824 の修正パッチを適用して、脆弱性の悪用を防ぎます。
- 2. 権限管理: 特に権限を高める手法に対応するため、管理者権限やセキュリティ設定の見直しを定期的に行います。
- 3. ログ監視と分析: 異常な権限活動やネットワーク通信を監視し、疑わしい動作の早期発見と対応に努めます。
- 4. バックアップとリカバリー: ランサムウェア攻撃に備えて、重要なデータの定期的なバックアップを行い、リカバリー体制を整備します。 Microsoftは、このような攻撃を未然に防ぐための迅速なセキュリティ対応とアップデート適用の重要性を強調しています。また、Windows 11, version 24H2はこの特定の脆弱性の影響を受けないことも指摘されています。
