ロシアの脅威グループがWindowsの印刷スプーラーの脆弱性悪用、アップデートを
マイナビニュース2024年4月30日(火)12時53分
Microsoftはこのほど、「Analyzing Forest Blizzard’s custom post-compromise tool for exploiting CVE-2022-38028 to obtain credentials|Microsoft Security Blog」において、ロシア連邦軍参謀本部情報総局(лавное разведывательное управление)と関連があるとみられる脅威グループ「Forest Blizzard(別名:APT28、STRONTIUM)」がWindowsのプリントスプーラーサービスに存在する脆弱性を悪用していたと伝えた。脅威グループはこの脆弱性「CVE-2022-38028」を悪用する「GooseEgg」と呼ばれるツールを用いて特権を昇格させ、認証情報を窃取したと見られている。
○脆弱性「CVE-2022-38028」の概要
今回悪用が確認された脆弱性「CVE-2022-38028」は、2022年10月に情報公開されたWindowsプリントスプーラーに存在する特権昇格の脆弱性。この脆弱性はセキュリティアップデート(KB5018411)により、すでに修正されている(参考:「CVE-2022-38028 - Security Update Guide - Microsoft - Windows Print Spooler Elevation of Privilege Vulnerability」)。
○攻撃ツール「GooseEgg」の概要
攻撃ツール「GooseEgg」は脆弱性を悪用して指定されたコマンドをSYSTEMアカウント権限で実行する機能を持つ。脅威グループはレジストリ情報を窃取するバッチスクリプトを生成し、このツールから実行されるようにタスクスケジューラーを構成して永続的な攻撃を実施する。
Microsoftの調査によると、脅威グループは少なくとも2020年6月から、または早ければ2019年4月からこのツールを悪用していた可能性があるとしている。主な標的はウクライナ、西ヨーロッパ、北米地域の政府機関、非政府組織、教育、運輸業界の関連組織とみられている。
○GooseEggを用いた攻撃への対策
MicrosoftはGooseEggを使用した攻撃を回避するため、次の緩和策の実施を推奨している。
脆弱性を修正するセキュリティアップデートを適用する
ドメインコントローラーにプリントスプーラーサービスは必要ないためサービスを無効にする
追加の対策として、以下の実践も推奨されている。
エンドポイント検出応答(EDR: Endpoint Detection and Response)をブロックモードで実行する。Microsoft Defender for Endpointは悪意のある成果物(バイナリやスクリプトなど)をブロックできる
「調査と修復」を完全自動モードで構成し、Microsoft Defender for Endpointがアラートに対してアクションを実行して侵害を解決できるようにする(参考:「自動調査を使用して脅威を調査して修復する | Microsoft Learn」)
Microsoft Defenderおよび同等のウイルス対策製品に対応するクラウド配信保護を有効にする(参考:「クラウド保護と Microsoft Defender ウイルス対策 | Microsoft Learn」)
Microsoftはこうした対策以外にもGooseEggの検出方法を解説しており、侵害された可能性のある場合はこれら検出方法の活用が推奨されている。また、調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)も公開されており、必要に応じて活用することが望まれている。
○脆弱性「CVE-2022-38028」の概要
今回悪用が確認された脆弱性「CVE-2022-38028」は、2022年10月に情報公開されたWindowsプリントスプーラーに存在する特権昇格の脆弱性。この脆弱性はセキュリティアップデート(KB5018411)により、すでに修正されている(参考:「CVE-2022-38028 - Security Update Guide - Microsoft - Windows Print Spooler Elevation of Privilege Vulnerability」)。
○攻撃ツール「GooseEgg」の概要
攻撃ツール「GooseEgg」は脆弱性を悪用して指定されたコマンドをSYSTEMアカウント権限で実行する機能を持つ。脅威グループはレジストリ情報を窃取するバッチスクリプトを生成し、このツールから実行されるようにタスクスケジューラーを構成して永続的な攻撃を実施する。
Microsoftの調査によると、脅威グループは少なくとも2020年6月から、または早ければ2019年4月からこのツールを悪用していた可能性があるとしている。主な標的はウクライナ、西ヨーロッパ、北米地域の政府機関、非政府組織、教育、運輸業界の関連組織とみられている。
○GooseEggを用いた攻撃への対策
MicrosoftはGooseEggを使用した攻撃を回避するため、次の緩和策の実施を推奨している。
脆弱性を修正するセキュリティアップデートを適用する
ドメインコントローラーにプリントスプーラーサービスは必要ないためサービスを無効にする
追加の対策として、以下の実践も推奨されている。
エンドポイント検出応答(EDR: Endpoint Detection and Response)をブロックモードで実行する。Microsoft Defender for Endpointは悪意のある成果物(バイナリやスクリプトなど)をブロックできる
「調査と修復」を完全自動モードで構成し、Microsoft Defender for Endpointがアラートに対してアクションを実行して侵害を解決できるようにする(参考:「自動調査を使用して脅威を調査して修復する | Microsoft Learn」)
Microsoft Defenderおよび同等のウイルス対策製品に対応するクラウド配信保護を有効にする(参考:「クラウド保護と Microsoft Defender ウイルス対策 | Microsoft Learn」)
Microsoftはこうした対策以外にもGooseEggの検出方法を解説しており、侵害された可能性のある場合はこれら検出方法の活用が推奨されている。また、調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)も公開されており、必要に応じて活用することが望まれている。
「ロシア」をもっと詳しく
「ロシア」のニュース
-
ロシア、西側敵対勢力に武器供与も ウクライナ支援に対抗6月7日10時34分
-
ウクライナに戦闘機供与へ6月7日9時25分
-
ロシアのタグボート破壊 ウクライナがクリミア沖で6月7日5時44分
-
複数の北朝鮮タンカーがロシアの港に、石油の密輸常態化か…読売新聞の衛星画像分析で判明6月7日5時0分
-
軍事情報収集疑いでフランス国籍の男性を拘束 ロシア連邦捜査委6月7日2時19分
-
対ロシアで欧米の結束強調 バイデン大統領 ノルマンディー上陸作戦80年で6月7日1時51分
-
OPECプラス減産合意、必要に応じ微調整も=ロシア副首相6月6日19時46分
-
ロシア製油所に攻撃、火災 ウクライナの無人機6月6日19時19分
-
EU、ロシア凍結資産の利子活用案を検討へ G7首脳会議後に6月6日13時39分
-
米兵器でロシア領攻撃か6月6日11時40分