btzgrp
  • 動画編集に最適なソフトウェアはどれですか? - TechRepublic
Headlines

マイクロソフト:Windows CLFSの脆弱性が「ランサムウェアの広範な展開と実行」につながる可能性がある

05 mins
マイクロソフト:Windows CLFSの脆弱性が「ランサムウェアの広範な展開と実行」につながる可能性がある
フォルダーのロックを解除するためにハッカーからキーを支払うためにお金を持っている手の平らなベクターイラスト。
画像: nicescene/Adobe Stock

マイクロソフトは、Windows共通ログファイルシステム(CLFS)のゼロデイ脆弱性がランサムウェアの拡散に悪用されていることを検知しました。標的の業界はIT、不動産、金融、ソフトウェア、小売業など多岐にわたり、米国、スペイン、ベネズエラ、サウジアラビアに拠点を置く企業が対象となっています。

CVE-2025-29824として追跡され、「重要」と評価されているこの脆弱性は、CLFSカーネルドライバに存在します。この脆弱性により、システムへの標準ユーザーアクセスを既に持っている攻撃者は、ローカル権限を昇格することができます。Microsoft脅威インテリジェンスセンターのブログ投稿によると、攻撃者は特権アクセスを利用して「環境内でランサムウェアを広範囲に展開および実行」することが可能になります。

CFLSドライバは、トランザクションログの書き込みに使用されるWindowsの主要要素であり、これを悪用すると攻撃者がSYSTEM権限を取得できる可能性があります。そこからデータの窃取やバックドアのインストールが可能になります。MicrosoftはCFLSにおける権限昇格の脆弱性を頻繁に発見しており、最新の脆弱性は12月に修正されました。

マイクロソフトが観測したCVE-2025-29824の脆弱性を悪用した事例では、攻撃者が脆弱性を悪用して権限を昇格する前に、いわゆる「PipeMagic」マルウェアが展開されていました。PipeMagicは、攻撃者にシステムをリモート制御する権限を与え、コマンドを実行したり、より悪質なツールをインストールしたりすることを可能にします。

参照:TechRepublic独占記事:ハッカーが「心理的圧力をかける」ことで、新たなランサムウェア攻撃はより個人的になっている

搾取の背後にいるのは誰ですか?

Microsoft は、PipeMagic とランサムウェアを使用してこの脆弱性を悪用する脅威アクターとして Storm-2460 を特定し、これを RansomEXX グループに関連付けました。

かつてDefray777として知られていたこの攻撃グループは、2018年に登場しました。それ以来、テキサス州運輸局、ブラジル政府、台湾のハードウェアメーカーGIGABYTEといった著名な組織を標的にしてきました。このグループはロシア国籍の人物との関連が指摘されています。

米国のサイバー機関は、評価7.8の脆弱性を既知の脆弱性リストに追加した。これは、連邦政府の民間機関が4月29日までにパッチを適用することを義務付けていることを意味する。

Windows 10、Windows 11、Windows Server は脆弱である

4月8日、Windows 11、Windows Server 2022、Windows Server 2019の脆弱性を修正するセキュリティ更新プログラムがリリースされました。Windows 10 x64ベースおよび32ビットシステムはまだ修正を待っていますが、レドモンドは修正が「できるだけ早く」リリースされ、「リリースされ次第、このCVE情報の改訂を通じて顧客に通知される」と述べています。

Windows 11 バージョン 24H2 以降を実行しているデバイスは、脆弱性が存在する場合でも、この方法で悪用されることはありません。必要なシステム情報へのアクセスは、「SeDebugPrivilege」権限を持つユーザーに制限されており、このレベルのアクセスは通常、標準ユーザーには許可されていません。

搾取の仕組み

Microsoft は、脅威の攻撃者が certutil コマンドライン ユーティリティを使用して、悪意のある MSBuild ファイルを被害者のシステムにダウンロードしているのを観察しました。

このファイルは暗号化されたPipeMagicペイロードを格納しており、かつては正当なサードパーティウェブサイトで入手可能でしたが、脅威アクターのマルウェアをホストするために侵害されていました。PipeMagicが通信していたドメインの1つはaaaabbbbbbb.eastus.cloudapp.azure[.]comでしたが、現在は無効化されています。

PipeMagic が復号されメモリ内で実行されると、攻撃者は dllhost.exe プロセスを使用してカーネルアドレス(メモリ位置)をユーザーモードに漏洩させました。攻撃者は、プロセスの実行権限を定義するプロセスのトークンを 0xFFFFFFFF に上書きし、完全な権限を付与しました。これにより、攻撃者は SYSTEM レベルのプロセスにコードを挿入できるようになりました。

次に、SYSTEMのwinlogon.exeプロセスにペイロードを注入し、このプロセスはSysinternalsのprocdump.exeツールを別のdllhost.exeプロセスに注入して実行しました。これにより、脅威アクターはユーザー認証情報を含むLSASSプロセスのメモリをダンプすることができました。

認証情報の盗難に続いて、ランサムウェアが展開されました。マイクロソフトは、ファイルが暗号化され、ランダムな拡張子が追加され、「!_READ_ME_REXX2_!.txt」という身代金要求メッセージが影響を受けたシステムにドロップされるのを確認しました。

Tagged:

Related News