北朝鮮の脅威グループ、Windowsのゼロデイ悪用してサイバー攻撃

画像提供：マイナビニュース

The Hacker Newsは8月19日(現地時間)、「Microsoft Patches Zero-Day Flaw Exploited by North Korea's Lazarus Group」において、北朝鮮の国家支援を受けているとみられる脅威グループ「Lazarus Group」に悪用されたWindowsの脆弱性が修正されたと伝えた。修正された脆弱性は「CVE-2024-38193」として追跡されており、悪用されると特権昇格の可能性がある。

○脆弱性の情報

脆弱性に関する情報は次のWebページにまとまっている。

CVE-2024-38193 - セキュリティ更新プログラム ガイド - Microsoft - WinSock 用 Windows Ancillary Function Driver の特権の昇格の脆弱性

脆弱性の情報(CVE)は次のとおり。

CVE-2024-38193 - WinSock用のWindows補助機能ドライバー(AFD.sys)に解放後使用(UAF: use-after-free)の脆弱性。攻撃者はSYSTEM権限を獲得する可能性がある

○脆弱性が存在する製品

脆弱性が存在するとされる製品およびバージョンは次のとおり。

Windows 11 Version 24H2
Windows 11 Version 23H2
Windows 11 Version 22H2
Windows 11 version 21H2
Windows 10 Version 22H2
Windows 10 Version 21H2
Windows 10 Version 1809
Windows 10 Version 1607
Windows 10
Windows Server 2022, 23H2 Edition
Windows Server 2022
Windows Server 2019
Windows Server 2016
Windows Server 2012
Windows Server 2012 R2
Windows Server 2008 Systems Service Pack 2
Windows Server 2008 R2 for x64-based Systems Service Pack 1

○脆弱性の影響と対策

対象の脆弱性はセキュリティ関連企業の「Gen Digital」の研究者により発見された(参考：「Gen Blogs | Safeguarding Digital Freedom: How a Gen Discovery Helped to Protect Windows Users Everywhere」)。研究者の報告によると、この脆弱性を悪用する攻撃者は通常のセキュリティ制限を回避し、機密性の高いシステム領域に不正アクセスできるとされる。

脆弱性の深刻度は重要(Important)と評価されており注意が必要。また、Microsoftはすでに悪用の事実を確認済みと報告している。そのため、脆弱性が存在しているシステムを運用している管理者は、影響を確認して速やかにアップデートすることが推奨されている。
（後藤大地）