【日刊】忙しい人のためのセキュリティニュース(2017/10/05) VMWare”トロイ”がブラジル金融機関を標的に/SAP脆弱性でサーバーが落ちる/Office365標的に拡散”KnockKnock” 他

f:id:nanashi0x:20171006212431p:plain

今週一週間、本当にお疲れ様です。いちです。

本日は以下のセキュリティニュースのダイジェストをお送りします。

それでは早速、参りましょう!

 

1. VMWareを装う”トロイの木馬”ブラジル金融機関を標的

正式なVMwareバイナリを装い、ウイルスチェックの目をかい潜るトロイの木馬が、ブラジルの金融機関を標的に流行している。

トロイの木馬として、本物で証明書付きのDLLファイルが使用されており、標的である金融機関のシステムに侵入後は顧客の口座番号などの機密情報を盗み取る。

ポルトガル語で書かれたスパムメールによって感染拡大している。

主にスパムメールには、Boleto(ブラジルでよく使われるペイメントサービス)の支払請求書メールに書かれるURLをクリックさせる文言が書かれているという。

その後、表示されるページに置かれているJARファイルをダブルクリックすると、Javaで書かれたコードを実行し、バンキングトロイを端末にダウンロードする。

 

2. SAPの脆弱性によりサーバーが落ちる可能性

SAPの商品に8個もの脆弱性が発見された。

その中で最も深刻な脆弱性はWeb Dynpro Flash Islandに含まれる脆弱性で、XMLの認証が欠けてしまっている事が脆弱性とされている。

攻撃者は、この脆弱性をエクスプロイトしてXML External Entitity(XXE)を実行できる。

XXEはリクエストフォージェリの一種で、簡単に説明すると「第三者がプロキシの権限を使って攻撃コマンドを挿入する攻撃」である。

つまりSAPの脆弱性を悪用する事で、SAP製品が入っている端末から暗号鍵等の機密情報をサーバーから盗み出す事ができるようになる。

●参考URL

・Web Dynproとは?

https://help.sap.com/saphelp_nw70/helpdata/ja/15/0d4f21c17c8044af4868130e9fea07/frameset.htm

・リクエストフォージェリとは?

https://blog.ohgaki.net/reconsidering-request-forgery

 

3. Office365を標的に拡散する”KnockKnock”攻撃

MS社のクラウドサービスOffice 365ユーザーを標的にするKnockKnock攻撃が16カ国で流行している。

標的とされた業界はメーカー、金融、ヘルスケア、コンシューマーメーカーで、各企業が所有する自動メール送信用アカウントを狙っている。

一般的に、マーケティングやセールスを自動で行うソフトウェアは、2段階認証等を使用している事が少ない事から、KnockKnockの標的にされているようだ。

最初の攻撃は2017年の五月に確認され、6月〜8月の間大規模な拡散が行われた。

Skyhighネットワーク社の調査によって明らかになっているのは以下。 

  • 63ものネットワークを使用し、83のIPアドレスを使用して攻撃を実施した。
  • 90%の攻撃発信元は中国、その他はロシア、アメリカ、ブラジル、アルゼンチン
  • ほぼ全ての標的は人間が介さない”自動メール配信用アカウント”

 

4. Magento脆弱性のPoC公開

Magentoに脆弱性があることが判明し、リサーチャーによってPoCが公開された。

ちなみにMagentoはEコマースサイトを手軽に起ち上げられるサービスだ。

攻撃者は脆弱性をエクスプロイトすることで、CSRFXSSを実行する事が出来る。

影響があるMagentoバージョンは以下。

  • Magento CE 1 prior to 1.9.3.6
  • Magento Commerce prior to 1.14.3.6
  • Magento 2.0 prior to 2.0.16
  • Magento 2.1. prior to 2.1.9 

該当ユーザーは、Magentoを最新バージョンにアップデートする事で対処できる。

●参考URL

Magentoとは

http://www.cagolab.jp/blog/?p=28

 

5. ユーザー行動を盗み出すFormBookが蔓延

FormBookというマルウェアがアメリカと韓国で流行している。

FormBookはPDF,Word,zip等のドキュメントファイルに含まれるマルウェアで、感染したユーザーのあらゆる情報を盗み取ってしまう。

FormBookの広告を見ると、その恐ろしさがわかるので以下の画像を見てもらいたい。

f:id:nanashi0x:20171006212526p:plain

(引用:FireEyeブログ)

広告を見る限り、キーロガー、プロセス監視、クリップボード情報の盗み出し、HTTP/HTTPS通信の監視等、多岐にわたって感染端末の情報を盗み出してしまう。

 

6. Windows XPVistaFirefoxサポート終了へ

Mozilla社は、Windows XPVistaにおけるWebブラウザ「Firefox」のサポートを終了することを発表した。

同社は昨年12月時点で既にFirefoxのサポートをESR(Extended Support Release)状態にしていた。つまり、遅かれ早かれ古いバージョンでのFirefoxに対するサポートを打ち切る予定であったという事になる。

Mozilla社はユーザー達に対してWindows 8.1以降のバージョンにアップデートする事を推奨している。

 

7. Brotherプリンタに脆弱性。パスワードリセットが可能

インターネットに接続されたBrotherのプリンタに脆弱性があることが明らかになった。

脆弱性をエクスプロイトすることで、攻撃者はプリンターの管理者パネルにログインする事が出来、パスワードを変更できる。

それによって攻撃者はプリンターをダウンさせることで組織の生産性を落とす事が出来るようになる。

対象機種の例はDCP-9020CDW, MFC-9340CDW, MFC-L2700DW, MFC-J2510。

 

8. シカゴ・Englewoodでランサムウェア被害・現在は”調査中”

10月4日(現地時間)、アメリカ・イリノイ州のシカゴにあるEnglewoodという町で使われているコンピュータがランサムウェアの被害にあった。

Englewood市が公表した情報によると、「個人を特定出来るような情報の流出はしていない」という事だ。

このブログでもランサムウェアの被害を多く取り上げているが、公共機関におけるランサムウェアの被害のニュースを紹介したのは初めてだと思う。

被害状況はまだ調査中という事なので、ニュースが入り次第紹介していきたい。

 

8. Flickr脆弱性”なりすましで卑猥な画像などアップロード可能”

”高校生セキュリティ・リサーチャー”のJazzyによってFlickr脆弱性が発見された。

Flickrは各ユーザーにEメールアドレスをアサインし、ユーザーはEメールに画像添付して、認証なしで写真を投稿できる機能を備えている。

認証不要という事は、あるユーザーのEメールアドレスを知っていれば、第三者が写真をアップロード出来てしまうという事だ。

この事に気づいたJazzyは、FlickrによってアサインされるEメールアドレスに以下の様なパターンがある事を発見。パターンを元にスクリプトを書いてEメールのリストを作成した。

 

[Random dictionary word][Random number 0-100][Random Dictionary word]@photos.flickr.com

 

Flickrのユーザー総数は5千万程なのに対して、考えうるEメールアドレスのパターンは8千万パターンとなった。

単純計算でJazzyが作成したリストの50%以上は、実際にユーザーにアサインされている事になる。

Jazzyは既にFlickr社に報告し脆弱性は修正され、賞金を手にしたという。

 

追伸

本日も最後まで読んでくださり、本当にありがとうございます。

東京は9月に入ってもしばらく夏のように暖かい日々が続いていたのですが、夜はすっかり寒くなってきました。

私は日中の暑さに甘えて薄いタオルケットを掛けて寝てたんですが、あまりにも朝寒すぎて起きられないので、慌てて押し入れから毛布を取り出しました笑

週末もお仕事がある方はどうかお身体に気をつけて頑張ってくださいね。

陰ながら応援しております。

それではまた明日。

いち