マイクロソフト、タスクスケジューラーの脆弱性(CVE-2024-49039)を悪用したゼロデイ攻撃を確認
マイクロソフトは11月の定例アップデートで90件の脆弱性を修正し、その内2件の脆弱性は悪用検知されている為注意喚起しています。
ゼロデイ攻撃に悪用されている2つの脆弱性
マイクロソフトはタスクスケジューラーの脆弱性(CVE-2024-49039)について「攻撃者は権限を昇格し、AppContainer 実行環境よりも高い整合性レベルでコードを実行したり、リソースにアクセスしたりできる」と同社は警告しています。
また、この脆弱性を悪用した攻撃者は、特権アカウントのみに制限されている RPC 機能を実行できる可能性があるとしており
この発見は Google の脅威分析グループ (TAG) の功績であるとし、高度な標的型攻撃に使用された可能性があると示唆しています。
さらに慣例に従い、マイクロソフトは防御側が感染の兆候を探したり、検出緩和策をテストしたりするための IOC (侵害の兆候) やその他のテレメトリ データは提供しませんでした。
脆弱性、CVE-2024-43451 をすでに悪用されたカテゴリに分類し、このバグによりユーザーの NTLMv2 ハッシュが攻撃者に公開され、攻撃者がこれを使用してユーザーとして認証される可能性があると警告しました。
CVE-2024-49039
Windows タスク スケジューラの特権昇格の脆弱性。攻撃者が通常は特権アカウントに制限されている RPC 機能を実行できるようになり、不正なコード実行やリソース アクセスにつながる可能性があります。
CVE-2024-43451
悪意のあるファイルの選択や右クリックなど、ユーザーの最小限の操作で NTLMv2 ハッシュがリモートの攻撃者に公開される NTLM ハッシュ開示スプーフィングの脆弱性。
その他ゼロデイ攻撃に悪用されていませんが、危険度の高い脆弱性も修正されています。
CVE-2024-49040
Microsoft Exchange Server のスプーフィング脆弱性により、脅威の攻撃者が送信者の電子メール アドレスをローカル受信者に偽装できるようになります。
CVE-2024-49041
Windows MSHTML プラットフォームのスプーフィング脆弱性。これを悪用すると、ユーザーを欺いて悪意のあるコンテンツとやり取りさせる可能性があります。