1 つ目の脆弱性 (ID CVE-2023-29325) は、Windows 上の OLE (Object Linking & Embedding) テクノロジにおけるリモート コード実行のバグで、Outlook に影響します。 悪用するために、ハッカーは悪意のあるフィッシングメールをユーザーに送信します。

被害者が Outlook ソフトウェアで電子メールを開くか、Outlook アプリケーションが電子メールのプレビューを表示する限り、攻撃者はリモートでコードを実行し、デバイスを完全に制御することができます。

2 番目の脆弱性 CVE-2023-29336 は、オペレーティング システムの Win32k カーネル ドライバーにおける権限昇格のバグです。 悪用に成功すると、攻撃者はユーザーを SYSTEM 権限 (オペレーティング システムの最高権限) に昇格させ、それによってターゲット デバイスに悪意のあるコードを埋め込み、アクセスを維持することができます。 この脆弱性は現在、ライブ攻撃で悪用されています。

3 番目の脆弱性 CVE-2023-24932 により、ハッカーはセキュア ブート機能をバイパスできます。 悪用するために、ハッカーはターゲットデバイスの管理者権限を「失う」か取得する方法を見つけ、それによって悪意のあるブートキットコードをシステムファームウェア（ファームウェア）にインストールします。 このブートキットを使用すると、ハッカーがデバイスのブート プロセスを制御し、その領域に長く留まり、セキュリティ ソリューションによる検出を回避できるようになります。

最も危険なのは CVE-2023-24941 リモート コード実行の脆弱性 (CVSS 重大度スコア 9.8/10) で、ハッカーが他のシステムを深く攻撃する足掛かりとなる可能性があります。 この脆弱性は、Windows ネットワーク ファイル システム (NFS) ネットワーク ファイル共有プロトコルに存在します。

認証されていない攻撃者は、特別に作成したコマンドを NFS サービスに送信し、Windows サーバーを制御する可能性があります。 CVE-2023-24941 は Windows Server 2012、2016、2019、および 2022 に影響し、特にユーザーの操作は必要ありません。

Bkav の専門家によると、理想的な条件下では、ハッカーは上記 4 つの脆弱性を組み合わせて次のような一連の攻撃を行うことができます。 まず、被害者をだまして偽の電子メールをクリックさせて CVE-2023 -29325 を悪用し、ターゲット デバイスでのリモート コード実行をハイジャックします。 。

次に、CVE-2023-29336 経由でユーザーの権限をシステム権限に昇格させ、マルウェアに感染してデバイスへのアクセスを維持します。 デバイス上でハッカーが見つかると、CVE-2023-24932 によるセキュア ブート セキュリティ機能を悪用し、マルウェアをインストールし、被害を受けたシステム上でその存在を維持することができます。

最後に、CVE-2023-24941 を利用して Windows Server をさらに詳しく調べます。

Bkav のサイバーセキュリティ ディレクターである Nguyen Van Cuong 氏は、「攻撃手順の実行に成功することで、ハッカーはシステム全体を制御し、機密情報を盗むことができます…何よりも、CVE-2023-29325 はユーザーを落下の危険にさらします」とコメントしました。この形式の攻撃は非常に簡単で低コストであり、大規模に実行できるため、影響は非常に大きくなります。

現在、Microsoft は 2023 年 5 月のパッチ (火曜日のパッチ) でこれらのエラーを修正しています。 サイバーセキュリティの専門家は、大規模な攻撃を避けるためにユーザーに直ちにアップデートすることを推奨しています。 同時に、ユーザーは送信元不明の奇妙なメールを開かないでください。システムに異常が検出された場合は、専門チームに連絡して調査し、対処する必要があります。