はじめに
こんにちは!AWS事業本部コンサルティング部の和田響です。
この記事ではトレンドマイクロ株式会社の主催する、オンデマンドウェビナーをである『Windowsのゼロデイ脆弱性「CVE-2024-21412」』を視聴して学んだことや感想を記載します。
Windowsサーバーを使用している方の参考になれば幸いです。
学んだこと
CVE-2024-21412とは
CVE-2024-21412とは、フィッシングやマルウェアのWebサイトやアプリケーションからユーザーを保護し、悪意があると考えられるファイルのダウンロードを防ぐためにWindowsに搭載されているMicrosoft Defender SmartScreenに関する脆弱性です。
Microsoft Defender SmartScreenの脆弱性は2023年11月にCVE-2023-36025としてパッチも発表されていましたが、そのパッチを回避できる脆弱性が今回のCVE-2024-21412の位置付けです。
CVE-2024-21412の悪用
Water Hydraという攻撃グループが、被害者のシステムにゼロデイ攻撃手段として脆弱性CVE-2024-21412を悪用していることが確認されており、世界中の銀行、暗号資産プラットフォーム、外国為替及び株式取引プラットフォーム、ギャンブルサイトが被害にあったようです。
攻撃者はJPEG画像に見せかけたインターネットのショートカットを使用することでユーザがこれをクリックすると、CVE-2024-21412の脆弱性をついて悪意のあるプログラムが実行されます。その結果、Microsoft Defender SmartScreenを回避し、Windowsのホストを乗っ取ることで次の攻撃に繋げます。
補足
Water Hydraとは金融系のシステムを標的として攻撃を行なっている金銭目的と見られるグループで、トレンドマイクロ株式会社が「Water Hydra」と名付けたようです。中国の大手セキュリティ会社であるNSFOCUS社では「DarkCasino」と名付けられているみたいです。
対策
2月13日にMicrosoftが公式にパッチ提供を開始しています。
可能な限り早めに公式パッチを適用することを推奨します。
Amazon Inspectorでの検知
Amazon Inspectorを使用することでWindowsサーバーの脆弱性に素早く気づき、迅速な対応の手助けになります。
重要度や経過時間を可視化することができるため非常に便利なサービスですので、AWS上のサーバーの脆弱性管理にはおすすめです。
最後に
このウェビナーでは「CVE-2024-21412」の対応方法に加えて、攻撃者の攻撃パターンや一般的なゼロデイ攻撃についての知識も身につけることができました。
30分ほどで終わるので作業の合間に視聴してみてはどうでしょうか。
Windowsのゼロデイ脆弱性「CVE-2024-21412」
2
