Microsoft、「BlueKeep同様に危険」なリモートデスクトップサービスの脆弱性修正の早期適用を呼び掛け
米Microsoftは8月13日(現地時間)、月例セキュリティ更新プログラムを公開した。リリースノートとは別に、Microsoftはリモートデスクトップサービス(RDS)の修正パッチについて公式ブログで早急に更新プログラムを適用するよう呼び掛けた。 この更新プログラムは、2つの重大なリモートコード実行(RCE)の脆弱性を修正する。これらの脆弱性(CVE-2019-1181およびCVE-2019-1182)は、「BlueKeep」と同様に、ワーム化(ユーザーが気づかないうちにマルウェアがPCからPCへと伝播)する恐れがあるとしている。なお、今のところこれらの脆弱性が悪用された証拠はない。 影響を受けるWindowsのバージョンは、Windows 7 SP1、Windows Server 2008 R2 SP1、Windows Server 2012、Windows 8.1、Windows S
日本国内でモバイルデータ通信端末経由のマルウェア感染事案が増加
攻撃者は、パッチが適用されていないソフトウェアの欠陥やノートPCの設定不備を悪用してマルウェアを配信し、感染したノートPCが企業ネットワークに接続されることで他のシステムに侵害する機会を伺っています。 Secureworks® のカウンター・スレット・ユニット:Counter Threat Unit™ (以下、CTU) のリサーチャーは、日本国内において、USBモバイルデータ通信端末やSIMカードを利用してインターネットに接続した会社所有のノートPCが、マルウェアに感染する事案が増加していることを確認しています。日本では外出先においてノートPCで仕事を行う際、多くはモバイルデータ通信端末を利用してインターネットに接続しています。これらの通信端末の一部には、ノートPCにグローバルIPアドレスを割り当てるものが存在しており、ノートPCが社内ネットワークのような保護された環境を介さずに直接外部に
TechCrunch | Startup and Technology News
William A. Anders, the astronaut behind perhaps the single most iconic photo of our planet, has died at the age of 90. On Friday morning, Anders was piloting a small…
rundll32.exeを悪用した命令の実行 - Binary Pulsar
概要 攻撃者がWindowsシステムへの侵入に成功し、悪意のあるファイルを実行する際に、EXEファイルだと都合が悪いため様々な手法でファイルの実行を試みます。アンチウイルスソフトにファイルが検知されてしまうことはもちろんですが、侵入したWindowsシステムがAppLockerのような「ファイルの実行を制限するソフトウェア」を導入しておりpowershell.exeやcmd.exeなどの実行を制限している場合は、何かしらの手法で制限を回避してコマンドを実行させる必要があります。今回はAppLockerのようなソフトウェアにより制限されている環境で、制限を回避して命令を実行させるために攻撃者が悪用する手法の一つとして、rudll32.exeを悪用した手法を解説します。 rudll32.exeとは DLLにはEXE形式のファイルに実装するライブラリ関数が含まれており、Windows OSの根幹
Windowsイベントログについてのにゃんたくメモ - にゃん☆たくのひとりごと
どもどもにゃんたくです(「・ω・)「ガオー 皆さんいかがお過ごしでしょうか。 最近雨ばっかりでちょっといつもよりおセンチさを感じているにゃんたくです。 なんかブログでも書こうかなぁなんて思ってたんですけど、文章力や語彙力のNASAを常に感じて生きているので、どうしても書けなくて、でも書きたくて… まるで好きな人にラブレターでも書く前の人間みたいになってしまったんですけど、やっぱり久々書きたくなったので、今回はあくまでもブログというより、 ぼくがあとで『Windowsイベントログの件そういや前に書いたよな、ちょっと見返してみるか』くらいの感覚のメモを書いていきます。単純に言うと、アルファ世界線のにゃんたくが牧瀬紅莉栖を救うためにシュタインズ・ゲート世界線に行ってしまってもこのメモを読めば『こ、これがリーディングシュタイナーか!』となるようにするためのメモです。は? ※このネタを知りたければ
隠された(見えない)デスクトップに潜む脅威とその仕組み
普段我々がWindows PCを操作するときに必ず目にする領域、いわゆる、ファイルやフォルダのアイコンが並んでいる「デスクトップ」という領域があります。 実はそのデスクトップの裏側に、通常では見ることのできない「隠されたデスクトップ」が存在し悪用されている可能性があります。本記事では、その脅威と仕組みを掘り下げて解説します。 結論から述べると、Windows OSでは通常のデスクトップ(”Default”という名称のデスクトップ)の他に新たな別のデスクトップを任意に作成することができる仕組みが存在します。ただし、一般のユーザーが簡単に作成できるような方法や手段は用意されていません。あくまでプログラムからデスクトップを新たに作成するコード(Win32API)を呼び出して明示的に作成する必要があります。 そして、この仕組みを利用してユーザーには見ることのできない隠されたデスクトップを作成し悪用
正規のWindowsツールを使って不正ファイルをダウンロード--情報盗取の新攻撃
正規の「Windows」ユーティリティと無害なソフトウェアを悪用して、こっそりデータを盗む新しい攻撃チェーンが発見された。 Symantecによると、この新しいマルウェアキャンペーンは、「living off the land」(環境寄生型)と呼ばれる攻撃手法の典型例だという。 言い換えると、攻撃者はコンピュータのメモリ空間などで簡単なスクリプトとシェルコードを実行してファイルレス攻撃を遂行するだけでなく、標的のマシン上で利用可能なリソース(正当なツールやプロセスを含む)も利用するようになっている。 外部マルウェアの標的システムへの導入を減らし、標的のマシン上で既に利用可能なソフトウェアを利用することで、攻撃者はより長い期間にわたって検知を回避し、正体を暴かれるリスクを最小化することができる。新しい攻撃チェーンは、まさにこの手法を取り入れている。 Symantecによれば、最近発見されたこ
検出が困難 Windows狙う「ファイルレス攻撃」が急増
McAfee Labsは、システムに対するサイバー攻撃の方法が、外部マルウェアから信頼されやすいWindowsの実行ファイルへと大きく移行していることを確認しました。最も流通している技術の一つとしてファイルレス攻撃(英文)があげられます。この手の攻撃は信頼できる実行ファイルを通じて感染するため、検出するのが困難です。一般ユーザーも企業ユーザーもこの脅威の被害に遭う可能性があります。企業の環境では、攻撃者はこのベクトルを使用してネットワークを横断して移動します。 ファイルレスの脅威の一つであるCactusTorchは、DotNetToJScriptを利用してメモリーから直接、悪意のある.NETアセンブリを読み込み実行します。これらのアセンブリは.dllや.exeといったアプリケーション展開の最小ユニットです。ほかのファイルレス攻撃技術と同じように、DotNetToJScriptはコンピュータ
DLL の植え付けの脆弱性のトリアージ – 日本のセキュリティチーム - マイクロソフト
Updated Researcher Portal Submission Form: Discover the New Fields in the Submission Form Thursday, July 20, 2023 Summary: We are excited to announce the release of the updated Researcher Portal submission form. These new fields allow Security Researchers to provide additional context for the reported security issue, providing product teams with more data for analysis, gain insights and identify t
Windows Defender ウイルス対策が企業で最も採用されている理由 - Windows Blog for Japan
すべての Microsoft 製品 Global Microsoft 365 Teams Copilot Windows Surface Xbox セール 法人向け サポート ソフトウェア Windows アプリ AI OneDrive Outlook Skype OneNote Microsoft Teams PC とデバイス Xbox を購入する アクセサリ VR & 複合現実 エンタメ Xbox Game Pass Ultimate Xbox とゲーム PC ゲーム Windows ゲーム 映画とテレビ番組 法人向け Microsoft Cloud Microsoft Security Azure Dynamics 365 一般法人向け Microsoft 365 Microsoft Industry Microsoft Power Platform Windows 365 開発者
「EternalBlue」を利用するクリプトジャッキング攻撃
セキュリティ企業Impervaの研究者らによると、仮想通貨を採掘する「クリプトジャッキング」の新たなスキームが確認されたという。これは米国家安全保障局(NSA)から流出した「EternalBlue」エクスプロイトを用い、脆弱性を抱えた「Windows」サーバを感染させるというものだ。 同研究者らは、この新たなスキームが、今までのどちらかと言えばシンプルだったクリプトジャッキングの試みと比べると、はるかに洗練されたものだと警告している。 「RedisWannaMine」と名付けられたこの新たな攻撃は、仮想通貨の採掘を行うためにサーバを標的にするものであり、「攻撃の感染率を増加させ、(攻撃者の)金銭的利益を増大させるために、ワームのような振る舞いと先進的なエクスプロイトが組み合わされている」という。 このマルウェアは標的とするサーバを見つけ出した後、「Apache Struts」の「CVE-2
第43回 2018年2月~いまも発見される、DLL読み込みに関する脆弱性~どう悪用されるのか?&対処は? | gihyo.jp
インフラセキュリティの処方箋 第43回2018年2月~いまも発見される、DLL読み込みに関する脆弱性~どう悪用されるのか?&対処は? 2月は、地味にじわじわくる脆弱性が複数発見されました。発見された脆弱性の中身を紐解くと、延々昔から発見されているものも多くあります。 今月はその中から、DLL読み込みに関する脆弱性を題材に取り上げます。 2月に公開された「DLL読み込みに関する脆弱性」の例 2018年2月は、「DLL読み込みに関する脆弱性」(以下、本文中は「本件脆弱性」と称します)がやたらと公開されました。 以下は、JVNにより公開された、本件脆弱性に関する報告一覧です。 JVN#70615027:安心ネットセキュリティ (Windows版) のインストーラにおける DLL 読み込みに関する脆弱性 JVN#04564808:「フレッツ・あずけ~る バックアップツール」のインストーラにおけ
Windows Defender ATP が Windows 7 と Windows 8.1 をサポート - Windows Blog for Japan
※本ブログは、米国時間 2/12 に公開された” Announcing: Windows Defender ATP support for Windows 7 and Windows 8.1” の抄訳です。 Windows 10 は、強固な OS プラットフォームとセキュリティ侵害を防ぐ統合エンドポイント セキュリティ プラットフォーム「Windows Defender Advanced Threat Protection (ATP)」を備えた、マイクロソフト史上最も安全な Windows です。これは、クラウドを利用して、脅威や悪用に対する保護や Endpoint Detection & Response を実行できる初のオペレーティング システムです。多くのお客様が Windows 10 に移行する最大の理由は、この安全性です。移行期間中は環境内に Windows 10 と Windo
Windows 2000からWindows 10まで攻撃可能なコードが公開
このほど、研究目的で、Windowsの脆弱性「CVE-2017-0146」「CVE-2017-0143」を突いて攻撃可能なコードが「MS17-010 EternalSynergy / EternalRomance / EternalChampion aux+exploit modules by zerosum0x0 · Pull Request #9473 · rapid7/metasploit-framework · GitHub」に公開された。このモジュールを用いると、Windows上で任意のコマンドをシステム権限で実行可能だという。 このモジュールは、以下のパッチを適用していないWindows 2000以降のバージョンのWindowsで動作するとされている。 Windows 2000 SP0 x86 Windows 2000 Professional SP4 x86 Windows
緊急パッチだけではプロセッサ脆弱性対策は不十分――Spectre&Meltdown対策状況を再チェック
筆者からの注意 本稿は、ITプロフェッショナルの方に向けた記事です。「Spectre」および「Meltdown」の脆弱(ぜいじゃく)性に関する情報は、日々アップデートされています。できるだけオリジナルの情報を確認することをお勧めします。本稿で紹介する内容や手順は、一般のWindowsユーザーにとっては難しいでしょう。ご利用中のPCにおけるWindows側の対策は、ウイルス対策ソフトを最新状態に維持し、Windows UpdateでWindowsを最新状態に更新するだけで十分です。ただし、「2018-01」から始まる名前の更新プログラムがインストールされておらず、検出もされない場合は対応が必要です。後は、PCメーカーから提供される(されない場合もあります)BIOS/ファームウェアを更新することが重要ですが、それについてはPCの購入元に問い合わせるか、PCメーカーのWebサイトなどで確認してく
ユーザーアカウント制御(UAC)の奇妙な体験――デスクトップは暗転しない?
ユーザーアカウント制御(UAC)の奇妙な体験――デスクトップは暗転しない?:その知識、ホントに正しい? Windowsにまつわる都市伝説(101)(1/2 ページ) Windows Vistaで導入された「ユーザーアカウント制御(UAC)」。Windows Vistaではオン/オフしかできませんでしたが、Windows 7以降は4つのレベルで挙動を調整できるようになりました。その1つに「デスクトップを暗転しない」がありますが、これが推奨されない理由、ご存じですか? Windowsにまつわる都市伝説 Windows Vista/7のUACではデスクトップが暗転する Windowsでは、ローカルコンピュータに管理者権限を持つ管理者ユーザーと、管理者権限を持たない一般ユーザーを分け、日常的な作業は一般ユーザーでログオンして行うことが推奨されてきました。これは、Windowsに限らず、推奨されるこ
例の CPU 脆弱性問題にフルアーマーな PC (Windows クライアントとサーバー)
自著の書籍、記事、技術文書のフォローアップとか... (注:このブログは 2024 年 3 月以降更新されません。今後、予告なくサイトを閉鎖することがあります。ブログ主の引っ越し先は こちら) 我が家の PC は古いものばっかりで、ファームウェアの更新なさそうだから、例の CPU 脆弱性(Meltdown & Spectre)問題に対策できないなぁと思っていたのですが、たまたま知人の新規 PC のセットアップをしたので、その際に確認してみると... (1) セキュリティパッチのインストール(Windows 10 バージョン 1709 の場合は KB4056892、16299.192) (2) 最新のファームウェア(BIOS)アップデート(1/11 追記:CVE-2017-5715 の軽減のために必要、ADV18002 の FAQ 9 を参照)。 Get-SpeculationControl
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
はい、これで見えますね: ファイルレス マルウェアをさらけ出す – 日本のセキュリティチーム - マイクロソフト
Home
サービス終了のお知らせ