世界

ハッカーが1年前のMicrosoft Outlookの修正方法を見つける

電子メールは、長い間セキュリティの主要な弱リンクでした。民主党全国委員会とヒラリークリントンのキャンペーンは、無実の状態で、ロシアのハッカーによって、2016米国の選挙。そして、2016キャンペーンが本格化しているため、Microsoft Outlookのパッチが適用された欠陥は依然として発生しています攻撃者はオープニングを開始します。

10月に最初に開示および修正しました2017、バグは「ホームページ」と呼ばれるあまり知られていないOutlook機能にあり、ユーザーのホーム画面として機能できるタブです。企業のWebサーバーや公開Webサイトなどから外部コンテンツをロードします。実際には、多くのOutlookユーザーは、Outlookを受信トレイに開くため、ホームページが存在することを知りません。しかし、ハッカーは、誰かのアカウント資格情報を取得できれば、ホームページの欠陥を悪用し、それを操作して悪意のあるコンテンツをロードできることに気付きました。そこから、リモートでエクスプロイトコードを実行して、Outlookの防御を突破し、デバイスのオペレーティングシステムを制御できます。正当なOutlookトラフィックのように見えるため、攻撃全体は目立ちません。一度設定されると、侵入されたデバイスが再起動された後でもバックドアは持続します。

Microsoftはもともと(***********で脆弱性を低重大度とラベル付けしましたが**********************)、野生では悪用されたバグを見ていなかったと言った、セキュリティ会社特に、イランにリンクされたハッキン​​ググループAPT(***************************による)国家の虐待の証拠を見た*************)、およびその後の別のイランのグループ、APT34。今年の7月に、US Cyber​​ Commandは、脆弱性の継続的な悪用について警告を発行しました。 10月、Microsoftは、イランのハッカーがOfficeを標的にしたと述べました2534のメールアカウント大統領選挙キャンペーン、伝えられるところによれば、トランプキャンペーン。この特定のインシデントは、特にホームページのバグには関係していなかった可能性がありますが、電子メールハッキングへの焦点を強調しています。また、FireEyeによると、国家を含む多くのさまざまな攻撃者によるHome Page脆弱性の積極的な悪用が続いているとのことです。

」セキュリティ企業にとっても、これを実際に見つけるのは非常に困難です」と、FireEyeの攻撃手法のディレクターであるNick Carr氏は述べています。 「これは、効果的な緩和策やエクスプロイト用のパッチがなく、かなり頻繁に見られるものです。」

だから、そのパッチについて。 Microsoftは34のバグの修正を発行しました。 Outlookが最新であれば、企業やキャンペーンは脅威を心配する必要はないという印象。この修正プログラムは、基本的に、オペレーティングシステムやその他のアプリの基本設定のデータベースである「Windowsレジストリ」を微調整することにより、ホームページの機能を低下させます。しかし、研究者たちは、パッチをインストールした後でも、これらのレジストリの変更を本質的に元に戻す、またはそれらを迂回する簡単な方法があることを発見しました。マイクロソフトはコメントのためにWIREDからリクエストを返しませんでした。

「パッチがあり、機能の一部を無効にします」と、FireEye MandiantのシニアマネージャーであるMatthew McWhirtは言います。 「ほとんどの場合、OutlookユーザーインターフェイスでホームページのURL設定を構成する機能を隠しますが、再度有効にすることができます。また、パッチを適用しても、保護を元に戻していない場合でも、他の方法がありますこのホームページの動作を呼び出すために、防御者に推奨することを概説した追加の強化手段があります。」

FireEyeの投稿では、最近のOutlookホームページの例を紹介しています。会社が野生で見つけた搾取。これは、マイクロソフトのパッチに関する巧妙な方法の特に良い例であり、多くのバリエーションの可能性を示唆しています。これは、攻撃者がこのエクスプロイトに長期間依存し続ける可能性があることを示しています。しかし、このサンプル侵入は、国家によって実行されたものではないことが判明しました。その代わりに、それは赤いチーム、またはデジタル防御の弱点を見つけるために企業や他の組織に雇われたハッカーのグループから来ました。

「攻撃」は、仕事をしていた侵入テスト会社TrustedSecから来ました。

「私たちは、レッドチームとのエンゲージメントでOutlook Home Page攻撃を数年間使用しています」と、TrustedSecの創設者兼CEOであるデイブ・ケネディは述べています。 「私たちの目標は、顧客に対する実世界の攻撃と敵対能力を使用することであり、ホームページ攻撃はほとんどすべての組織でほとんど見過ごされます。 「

FireEyeのCarrは、パッチを使用して問題を解決することに加えて、より一般的にはメールの監視と防御に焦点を当てることができると指摘しています。クラウド内のOffice25のようなサービス。しかし、Outlookのようなデスクトップアプリケーションは、ローカルネットワークの露出をクラウドサービスに追加することができます。しかし、彼は、プロセスの中でTrustedSecのスポットを爆破せずにそれをできたかもしれないと冗談を言った。 「彼らが私たちのテクニックを見つけて、コードを失ってしまったことを今でもチェックしています」と彼は笑いながら言います。 「しかし、これがゲームです。これらのタイプの攻撃は、膨大なリソースにアクセスできる攻撃者から可能なことのほんの一例です。」


その他の素晴らしいWIREDストーリー

Related Articles

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

Close