悪用された脆弱性トップ20=Microsoft関連が75%を占める
米サイバーセキュリティ企業 Qualys は、過去数年間に脅威アクター、マルウェアファミリー、ランサムウェアファミリーに最も悪用された脆弱性トップ 20 の分析結果を発表した。注目すべきは、これら 20 件のバグのうち 15 件が Microsoft 製品に関連していることだ。
トップ 20 の脆弱性のいくつかは、2023 年 8 月 3 日に発表された米 CISA(Cybersecurity and Infrastructure Security Agency:サイバーセキュリティ・インフラセキュリティ庁)の「2022 Top Routinely Exploited Vulnerabilities」(2022 年に日常的に悪用された脆弱性トップリスト)にも含まれている。
最も標的とされた脆弱性トップ5
Qualysによると、最も標的とされた 5 つの脆弱性はすべて、Office(Microsoft 365)、ワープロソフトの WordPad、Windows OS を含む Microsoft 製品に関連している。
1.Microsoft Office のメモリ破損の脆弱性(CVE-2017-11882)
このバグは、CISA の「Additional Routinely Exploited Vulnerabilities in 2022」(2022 年に日常的に悪用された脆弱性(追加))リストにも含まれており、467 件のマルウェア、53 人の脅威アクター、14 件のランサムウェアによって悪用された。2023 年 8 月 31 日の時点でも、この脆弱性は長年にわたるトレンドとなっていた。Qualys の研究チームは、この脆弱性には Microsoft Office の数式エディターにおける重大なメモリ破壊が関与しており、攻撃者が現在のユーザーの権限下で任意のコードを実行することができると指摘している。そして、ユーザーが管理者権限を持っている場合、システム全体が乗っ取られる可能性がある。
2.Microsoft WordPad のリモートコード実行(RCE)の脆弱性(CVE-2017-0199)
この脆弱性は、93 件のマルウェア、53 人の脅威アクター、および 5 件のランサムウェアによって悪用され、CISA のリストに含まれている。このリモートコード実行の欠陥は、特定の Microsoft Office および WordPad のバージョン、特に特別に細工されたファイルを解析する際に影響を及ぼす。悪用に成功すると、現在のユーザーのセキュリティ・コンテキスト下で任意のコードが実行され、攻撃者にシステムを制御される可能性がある。
3.Windows コモンコントロールの脆弱性(CVE-2012-0158)
この脆弱性は、63 件のマルウェア、45 人の脅威アクター、2 件のランサムウェアによって悪用された。攻撃者は、Windows 標準コントロールのこの脆弱性を悪用し、ユーザーを騙して特別に細工されたWeb ページにアクセスさせることで、リモートでコードを実行される可能性がある。
4.Microsoft Office の RCE の脆弱性(CVE-2017-8570)
この脆弱性は、52 件のマルウェアと 11 人の脅威アクターによって悪用された。悪用に成功した場合、Microsoft Office および WordPad のこの欠陥により、攻撃者はログインしているユーザーと同じ権限で任意のコードを実行できる。
5.Zerologon – 認証されずに完全なドメイン特権に昇格される (CVE-2020-1472)
Zerologon として知られる、Microsoft の Netlogon リモート・プロトコルにおけるこの深刻な脆弱性は、18 件のマルウェア、16 人の脅威アクター、11 件のランサムウェアによって悪用され、CISA のリストに含まれている。特定のセットアップにより、攻撃者はサーバーになりすまし、Windows ドメイン全体を侵害し、すべての Active Directory サービスを制御することができる。
このほか、Microsoft 関連の脆弱性として、Windows SMBv1 の RCE の脆弱性(CVE-2017-0144、CVE-2017-0145、CVE-2017-0143)――ランサムウェアの「WannaCry」「Petya」が悪用――、Microsoft Exchange サーバーの RCE の脆弱性(CVE-2021-34473、CVE-2021-34523、CVE-2021-31207)――「ProxyShell 攻撃」の標的――、Windows VBScript Engine の RCE の脆弱性 (CVE-2018-8174)、Microsoft Silverlight の RCE (CVE-2013-0074)、Microsoft Office メモリ破損の脆弱性 (CVE-2018-0802)、Microsoft Exchange サーバー認証バイパスおよび RCE の脆弱性 (CVE-2021-26855) などがある。
Apache Log4j、オラクル、フォーティネットのバグもリストに
最も悪用された脆弱性のトップ 20 には、オラクル関連のバグが 2 件、Unix/Linux、Jira Atlassian、Apache、Citrix、Ivanti、Fortinet のバグがそれぞれ 1 件含まれている。
Qualys の調査チームによって、Log4Shell としても知られる人気の Apache の log4j Java ライブラリの深刻な脆弱性が、10 件のマルウェア、26 人の脅威アクター、5 件のランサムウェアによって悪用され、2023 年 9 月 4 日の時点で蔓延していると指摘されている。
「この脆弱性は、log4j の Lookup 機能を悪用し、攻撃者が特別に作成した入力を使用して LDAP (軽量ディレクトリ アクセス プロトコル) サーバー上でリモート Java クラスの実行をトリガーし、リモートでコードを実行することを許します」とチームは述べる。
今日のサイバーセキュリティ環境では、組織やセキュリティチームにとって、脅威アクター、マルウェアファミリー、ランサムウェアファミリーによって積極的に標的にされている高リスクの脆弱性を特定し、軽減することが重要であると研究チームはブログ投稿で警告している。
また、複数のサイロ化した脅威アプローチを実装するよりも、多元的な脅威インテリジェンスを使用して脆弱性に優先順位をつけることを推奨した。
Microsoft vulnerabilities make up 75% of top 20 exploited list
SDxCentralの編集者。
サイバーセキュリティ、量子コンピューティング、ネットワーキング、およびクラウドネイティブ技術を担当している。
バイリンガルのコミュニケーション専門家兼ジャーナリストで、光情報科学技術の工学学士号と応用コミュニケーションの理学修士号を取得している。
10年近くにわたり、紙媒体やオンライン媒体での取材、調査、編成、編集に携わる。
連絡先:nliu@sdxcentral.com
SDxCentralの編集者。
サイバーセキュリティ、量子コンピューティング、ネットワーキング、およびクラウドネイティブ技術を担当している。
バイリンガルのコミュニケーション専門家兼ジャーナリストで、光情報科学技術の工学学士号と応用コミュニケーションの理学修士号を取得している。
10年近くにわたり、紙媒体やオンライン媒体での取材、調査、編成、編集に携わる。
連絡先:nliu@sdxcentral.com
JOIN NEWSME ニュースレター購読
KCMEの革新的な技術情報を随時発信
5G・IoT・クラウド・セキュリティ・AIなどの注目領域のコンテンツをお届けします。
KCME注目の技術領域に関するテックブログを配信しています。
KCME注目の技術領域に関するテックブログを配信しています。
RELATED ARTICLE 関連記事
-
クラウド Dan Meyer2024.08.27
AWS、Azure、Google Cloudのマーケットプレイスが急成長へ
Amazon Web Services(AWS)、M…
-
データセンター Dan Meyer2024.08.22
世界のデータセンター事情=ハイパースケーラーに容量が集中していくのはなぜか
Amazon Web Services(AWS)、M…
-
ネットワーク Sean Michael Kerner2024.08.20
DNSパフォーマンスの調査が、プロバイダー間の大きな格差を明らかに
IBMとCatchpoint Systemsが実施し…
-
セキュリティ Nancy Liu2024.08.05
フォーティネットのLacework買収がクラウドセキュリティを強化、CiscoやPalo Alto Networksと競合
フォーティネットは最近、クラウドセキュリティのスター…
HOT TAG 注目タグ
RANKING 閲覧ランキング
-
セキュリティ Nancy Liu
デル、データ侵害を確認=ハッカーが4900万件の顧客データ販売を主張
-
IT Dan Meyer
BroadcomによるVMware製品の価格/ライセンスの変更がどうなったか
-
IT Dan Meyer
Dell、HPE、LenovoはBroadcomがVMwareの顧客の懸念を和らげるのに役立つか?
-
IT Dan Meyer
BroadcomがVMwareパートナープログラムの詳細を発表
-
ネットワーク Sean Michael Kerner
2024年における10のネットワーキング技術予測
-
セキュリティ Tobias Mann
米CitrixはMcAfee社、FireEye社と同じ運命を辿るのか=買収合併の後に
-
セキュリティ Nancy Liu
SASE市場が急成長=第1四半期、首位はZscaler
-
スイッチング技術 Tobias Mann
コパッケージドオプティクスの実用化は何年も先=専門家談
-
IT Dan Meyer
米キーサイトがVIAVIのスパイレント買収に「待った」=15億ドルを提示
-
ネットワーク Sean Michael Kerner
2023年 ITネットワークのトレンドTOP10 現時点