WindowsのMSCファイルに任意のJavaScript実行の脆弱性、注意を
マイナビニュース / 2024年6月27日 7時46分
Elasticsearchは2024年このほど、「GrimResource - Microsoft Management Console for initial access and evasion — Elastic Security Labs」において、Windowsの「MSCファイル」を利用する新しい攻撃手法「GrimResource」を発見したと伝えた。
○新しい攻撃手法「GrimResource」の特徴
GrimResourceはapds.dllライブラリに存在する古いクロスサイトスクリプティング(XSS: Cross-Site Scripting)の脆弱性を悪用する。攻撃者はMSCファイルの適切なStringTableセクションに脆弱なAPDSリソースへの参照を追加することで、Microsoft管理コンソール(MMC: Microsoft Management Console)のコンテキスト内で任意のJavaScriptを実行することができる。
Elasticsearchは悪用されたMSCファイルをVirusTotalにて検索した結果、検出できるセキュリティソリューションはゼロだったと説明している。このMSCファイルはJavaScriptを介して悪意のあるVBスクリプトを実行し、最終的に「Cobalt Strike」を展開するとされる。
○対策
BleepingComputerによると、apds.dllライブラリーに存在する古いクロスサイトスクリプティングの脆弱性は、2018年10月にMicrosoftに報告されていたという(参考「New attack uses MSC files and Windows XSS flaw to breach networks」)。しかしながら、速やかな修正は必要ないと判断されて即時の対策はされず、その後修正されたかも不明としている。
そのため、この脆弱性が放置されていたのか、デグレードにより再発したのかはわかっていない。いずれにせよ、Microsoftには速やかな対策が求められている。
ElasticsearchはGrimResourceを検出するYARAルールおよびセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。
(後藤大地)
外部リンク
この記事に関連するニュース
-
iOS版LINEアプリに脆弱性、アップデートを
マイナビニュース / 2024年6月24日 8時58分
-
トレンドマイクロの複数製品に脆弱性、アップデートを - JPCERT/CC注意喚起
マイナビニュース / 2024年6月20日 17時41分
-
Excelを悪用してマルウェアを展開するウクライナを狙うサイバー攻撃特定
マイナビニュース / 2024年6月7日 10時25分
-
5月のWordPressプラグイン脆弱性まとめ、確認と対応を
マイナビニュース / 2024年6月4日 9時29分
-
2024年第1四半期「Webアプリケーションを狙ったサイバー攻撃検知レポート」を発表
Digital PR Platform / 2024年6月3日 11時32分
ランキング
-
12億画素カメラと120W充電対応で6万円以下! さらに高コスパ化したシャオミ「Redmi Note 13 Pro+ 5G」
ASCII.jp / 2024年6月29日 12時0分
-
2別人級メイクの達人がすっぴんからパーティーメイクすると…… 驚きの大変貌に「めちゃめちゃビジュがいい!」「これはまさしく詐欺」
ねとらぼ / 2024年6月29日 19時30分
-
3オックスフォード大学ご訪問の天皇陛下、“ネクタイの柄”に注目集まる
ねとらぼ / 2024年6月29日 15時9分
-
4早く歩けよ!ゲーマーに嫌われがちなNPC護衛/尾行ミッション…海外ゲーマーの恨みが募る
Game*Spark / 2024年6月28日 12時30分
-
5華やかな“Copilot+ PC”売り場、でも「それ、Arm版Windowsですよね?」 “分かっている人があえて選ぶPC”が一般層に猛プッシュされている不安
ITmedia PC USER / 2024年6月26日 12時25分
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/mission_close_icon.png)
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/point-loading.png)
エラーが発生しました
ページを再読み込みして
ください
![](/pc/img/mission/mission_close_icon.png)