RSS Zero Day Initiative - ブログ ノート

RSS Zero Day Initiative - ブログ

ザ・ゼブラ・ダイニングは、ダイニングとライフスタイルに関するオンラインブログです。彼らは食事、レストラン、ダイニング体験に関する様々な記事とガイドを共有します。彼らのブログは、読者がダイニング体験とライフスタイルを向上させるのを助けるレビュー、レコメンデーション、インサイトを提供します。

ノートのスレッド

Microsoft Internet Information Services の HTTP Protocol Stack に、HTTP.sys に実装されているリモート コード実行の脆弱性が存在し、細工された HTTP パケットをターゲット システムに送信することで悪用される可能性があります。この脆弱性は、受信 HTTP リクエストの無効な検証に起因し、悪用に成功するとサービス拒否状態またはカーネル権限でのコード実行につながる可能性があります。HTTP.sys は Microsoft Windows のカーネルモード HTTP プロトコル ドライバであり、Internet Information Services およびその他のアプリケーションに HTTP リクエスト解析、レスポンス キャッシュ、SSL/TLS 終端を提供します。この脆弱性は、HTTP/1.x ヘッダー解析中のバッファ参照配列における整数オーバーフローによって引き起こされ、カーネル プール ヒープ バッファ オーバーフローにつながる可能性があります。オーバーフローをトリガーするには、攻撃者は各ヘッダー行を個別の TLS アプリケーション データ レコードにカプセル化する HTTP リクエストを細工する必要があり、最小で 65,536 のバッファ参照が必要です。合計リクエスト サイズは約 262,144 バイトになり、デフォルトの MaxRequestBytes レジストリ値である 16,384 バイトを超えます。リモートの認証されていない攻撃者は、TLS 接続経由で細工された HTTP/1.x リクエストを影響を受けるサーバーに送信することで、この脆弱性を悪用し、予期しないシステム終了またはカーネルのコンテキストでの任意のコード実行を引き起こす可能性があります。この脆弱性の検出は、TCP ポート 443 のトラフィックを監視および解析することによって達成できます。これは、TLS トラフィックを復号化して個別のヘッダー フィールド行の数を数えるか、暗号化されたセッション内の TLS アプリケーション データ レコードのパターンを検査することによって行われます。この脆弱性は、Microsoft によって 2026 年 6 月のリリース サイクルで修正されており、修正を確実に実施するための最善の方法は、ベンダー提供のパッチをテストして展開することです。悪用を防ぐために、MaxRequestBytes レジストリ値を 65,535 バイト以下に維持することは、保守的な構成であり、ユーザーは TrendAI Research チームからの最新のセキュリティ パッチとエクスプロイト技術に従うことが推奨されます。
CdXz5zHNQW_taLHU2yssb.jpeg
Appleは2026年6月にiOS、iPadOS、macOS、Safari向けに37件のセキュリティアップデートをリリースしました。これらの脆弱性の大部分(合計31件)はWebKitとWebRTCに関連しており、悪意のあるWebコンテンツを通じてクラッシュやサービス拒否につながることがよくあります。しかし、カーネルとサンドボックスのエスケープバグがいくつかあり、より高いリスクをもたらします。CVE-2026-43724は、予期しないシステム終了やカーネルメモリ書き込みを可能にするカーネルバグとして際立っており、デバイスの完全な制御に向けた重要なステップとなります。もう一つの重要なカーネル脆弱性であるCVE-2026-39868は、カーネルメモリを破損させる可能性があり、エリートセキュリティ研究者に起因するとされており、武器化可能なバグであることを示唆しています。さらに、CVE-2026-43725とCVE-2026-43701は、ウェブサイトが制限を回避することを可能にするWebKitサンドボックスエスケープです。これらのサンドボックスエスケープは、Webコンテンツのエクスプロイトと潜在的なカーネルレベルの攻撃との間のギャップを埋めるため、重要です。多くのWebKitバグは単純なクラッシュを引き起こしますが、これらの特定のバグは、より深刻なシステム侵害につながる可能性からフラグが立てられています。このアップデートには、情報開示、メモリ破損、権限昇格、なりすましなどの脆弱性も含まれています。AppleはCVSSスコアを提供していないため、報告された影響と帰属から深刻度を推測する必要があります。読者にとって有益である場合、同社はこのセキュリティアップデートの報道を継続します。
CdXz5zHNQW_RcTJjottAX.png
Adobeは6月に様々な製品で123件のCVEに対応する11件のセキュリティ情報を公開しました。最も重要なアップデートはAdobe Campaign Classic向けで、CVSSスコアは10.0でした。次いでColdFusionには7件の重大な脆弱性がありました。Adobe Acrobat Readerも20件の重大な脆弱性パッチを受け取りましたが、これらはランサムウェアの一般的な標的となっています。Microsoftの6月のパッチチューズデーは、Windows、Office、Azure全体で208件のCVEを対象とした史上最大のものでした。これらの脆弱性のうち3件は公に知られており、1件は実際に悪用されています。重大なWindowsカーネルリモートコード実行の脆弱性であるCVE-2026-45657は、ワーム化される可能性があるため特に懸念されます。もう一つの高深刻度バグであるCVE-2026-47291はHTTP.sysに影響し、特定のレジストリ設定が行われていない限りリモートコード実行を可能にします。Microsoft Defenderにも特権昇格の脆弱性であるCVE-2026-41091があり、これは悪用されています。BitLockerのパッチは、セキュリティ機能のバイパスを可能にする可能性のある脆弱性に対応しています。パッチの膨大な量は、それらの発見と作成におけるAIの役割について疑問を投げかけます。システム管理者は、ゼロデイ攻撃や活発な悪用の多さを考慮し、これらの重要なアップデートの展開を優先する必要があります。
CdXz5zHNQW_gibRcKOOa3.png
TrendAI Researchは、MicrosoftのWARP & MORSEチームが最初に発見した、Windows Internet Key Exchange (IKE) サービスにおけるダブルフリー脆弱性、CVE-2026-33824を特定しました。この欠陥は、IKEv2のフラグメント処理に存在し、IKEEXTサービスのクラッシュや任意のコード実行につながる可能性があります。この脆弱性は、ikeext.dll内でのIKEv2フラグメント再構成中のヒープ割り当てされたBLOBポインタの不適切な所有権処理に起因しています。IKE_SA_INIT交換中に、Security Realm Vendor IDペイロードがIkeHandleSecurityRealmVendorId()にBLOBを割り当てさせ、MMSA構造体に格納されます。フラグメント化されたIKE_AUTHメッセージが再構成されると、IkeReinjectReassembledPacketは、このBLOBポインタをローカルスタック構造体に浅くコピーします。この構造体は、その後、IkeQueueRecvRequestによってヒープ割り当てされたワークアイテムに浅くコピーされます。最初の解放は、IkeDestroyPacketContextがワークアイテムを処理し、この浅くコピーされたBLOBポインタを解放するときに発生します。MMSA構造体は、同じ割り当てへの元のポインタをまだ保持しています。2回目の解放は、IkeCleanupMMNegotiationを介してMMSAがクリーンアップされるときに発生し、最終的にIkeFreeMMSAがトリガーされ、既に解放された割り当てを解放しようとします。認証されていないリモート攻撃者は、細工されたIKE_SA_INITメッセージを送信し、それに続いて無効なIKE_AUTHメッセージを含む2つ以上の暗号化されたフラグメントペイロードを送信することで、これを悪用できます。検出には、特定のIKE_SA_INITシーケンス(Microsoft Security Realm Vendor IDを含む)に続いて、特定のバイトシーケンスを含むフラグメント化されたIKE_AUTH要求について、UDPポート500および4500を監視する必要があります。Microsoftは、2026年4月にこの脆弱性を修正し、一時的な緩和策として、UDPポート500および4500へのインバウンドトラフィックをブロックするか、既知のピアアドレスへのトラフィックを制限することを推奨しています。ベンダーのアップデートを適用することが、唯一の完全な修復策です。
CdXz5zHNQW_WT3iiMmsPg.jpeg
このブログ記事は、Windows上のNode.jsアプリケーションに影響を与えるローカル特権昇格の脆弱性について詳しく解説しています。この脆弱性は、Node.jsのモジュール解決の挙動に起因します。Node.jsはデフォルトでC:\node_modulesディレクトリ内でモジュールを検索するため、攻撃者はこのディレクトリを作成することができます。悪意のあるモジュールをそこに配置することで、アプリケーションを実行しているユーザーのコンテキスト内で実行させることが可能です。この問題は、Node.jsが「ファイルシステムを信頼する」という姿勢に起因しており、意図的な挙動と見なされています。この怠慢が、オプションの依存関係を危険な攻撃ベクトルに変えてしまっています。npm CLIとDiscordが脆弱性の実例として示されており、欠落しているオプションの依存関係を悪用しています。npm CLIの脆弱性(CVE-2026-0775)は、欠落している"bluebird"パッケージを利用しています。Discordは、CVE-2026-0776を通じて、欠落している"utf-8-validate"依存関係のために脆弱であり、未だパッチが適用されていません。これらの脆弱性は、アプリケーションの起動時に、ユーザーの操作なしにトリガーされます。Node.js、npm、およびDiscordは、これを有効なセキュリティ問題とは考えていません。ブログは、研究者に対し、同様の脆弱性を持つアプリケーションをさらに調査することを推奨しています。
CdXz5zHNQW_YAmE6MusXD.jpeg
Pwn2Ownが、AWSの共同スポンサーを得て、賞金総額100万ドル以上でベルリンに帰ってきます。2回目の開催となる今回は、AIデータベース、コーディングエージェント、ローカル推論、NVIDIA製品など、AIカテゴリーが拡大されました。ウェブブラウザ、コンテナ、サーバー、仮想化、オペレーティングシステムといった既存のカテゴリーも含まれています。5月7日に登録が締め切られ、5月14日に開始されるコンテストでは、10のカテゴリーにわたって31のターゲットが設定されています。ユニークで成功したエントリーから獲得したポイントに基づいて「Master of Pwn」が決定され、多額の報酬が与えられます。仮想化のターゲットには、VMware ESXi、Microsoft Hyper-V、KVMが含まれており、高度なエクスプロイトにはボーナスが用意されています。レンダラーのみを含むウェブブラウザのエクスプロイトは、今年の賞金額が増額されました。Adobe ReaderやMicrosoft Officeコンポーネントなどのエンタープライズアプリケーションもターゲットとなっており、Copilotのデータ流出に対する新たなボーナスが設定されています。サーバーのターゲットには、リスクの高いMicrosoft ExchangeやRDP/RDSが含まれています。ローカル権限昇格には、Linux、macOS、Windowsのカーネル脆弱性が必要です。コンテナのエクスプロイトは、コンテナ内からホストOSの実行を達成する必要があり、Firecrackerが対象となります。新しいAIカテゴリーは、AIデータベース、コーディングエージェント、ローカル推論モデルのエクスプロイトに焦点を当てています。NVIDIAカテゴリーは、特定のNVIDIA製品とその関連ソフトウェアをターゲットとしています。参加者は、完全なルールを熟読し、登録や具体的な質問についてはお問い合わせいただくことを強く推奨します。
CdXz5zHNQW_HFPFyJ19tr.jpeg
CdXz5zHNQW_xMwtvMYJzt.png
Pwn2Own Ireland 2025の2日目は、参加者がポイントと賞金を獲得しようとする中で続いた。昨日の大会では、発見された脆弱性に対して52万2500ドルが授与された。サモニングチームがわずかなリードを保っていたが、さらに試みが行われるにつれてランキングは変化する可能性があった。 PHPフーリガンズは、OOBライトを使用してカノンプリンターを成功的に悪用し、1万ドルを獲得した。 ベトテルサイバーセキュリティは、コマンドインジェクションとその他のバグを使用してHome Automation Greenを悪用し、1万2500ドルを獲得した。 キュリオアスセキュアは、複数のバグを使用してフィリップスHue Bridgeを悪用し、1万6000ドルを獲得した。 サイクラフトテクノロジーのチューミー・ツァイは、コードインジェクションバグを使用してQNAP TS-453Eを悪用し、2万ドルを獲得した。 シナ・ケイルカーのシノロジー・ビーステーションプラスの悪用は、スコープ外であると判断された。 チーム・ネオディームは、2つのバグを使用してHome Assistant Greenを悪用し、1万5000ドルを獲得した。 これらの成功した悪用は、ソフトウェアの脆弱性を発見して修正するための継続的な取り組みを強調している。 大会はサイバーセキュリティの重要性を強調している。 多くのチームは、マスター・オブ・Pwnタイトルに向けて大きなポイントを獲得した。
CdXz5zHNQW_31KzFUoA7f.jpeg
CdXz5zHNQW_g4mE205VDZ.png
CdXz5zHNQW_yTPamjuh83.png
著者は、RFAファイルをファジングすることで最初に発見された、Autodesk Revit 2025でのクラッシュを調査しました。これは、型混同の脆弱性につながりました。この脆弱性は、std::pair型をデシリアライズした結果として発生しました。クラッシュは、プログラムが非vtable値に対してデストラクタを呼び出そうとしたときに発生します。著者は、この脆弱性を悪用してリモートコード実行を達成しました。この研究には、リバースエンジニアリングとデバッグが含まれていました。IDA Pro、WinDBG、Time Travel Debuggingなどのツールが使用されました。Autodesk Revit用のAxis Communications Pluginにおけるクラウドベースのサプライチェーン脆弱性(破損したRFAファイルを配布する可能性があった)が、このエクスプロイトを大きく助けました。著者は、「CompoundFileTool」というツールと、Revitのgzip動作を模倣した別のツールを作成し、これらはRFAファイルを効果的に変更するために不可欠でした。目的は、デシリアライズされたオブジェクトのオフセット0x0を制御されたvtableを指すように操作することでした。著者は最終的に、型混同を悪用することで任意のコード実行を成功させました。この研究には、AutodeskのRFA形式のリバースエンジニアリングと理解も含まれており、Global/Latestストリーム内の圧縮データの形式も含まれていました。
CdXz5zHNQW_dJZTAjgLHS.jpeg
トレンドマイクロ・ゼロデイ・イニシアチブは、NVIDIAのTransformers4Recライブラリに重大な脆弱性(CVE-2025-23298)を発見しました。この脆弱性により、リモートからルート権限でのコード実行が可能になります。この脆弱性は、Pythonのpickleモジュールを使用してモデルのチェックポイントを読み込む際の安全でない逆シリアライズに起因します。Merlinエコシステムの一部であるTransformers4Recは、レコメンデーションタスクで広く使用されており、Hugging Face Transformersと統合されています。欠陥はload_model_trainer_states_from_checkpoint関数にあり、安全パラメータなしで直接torch.load()を使用するため、悪意のあるpickleファイルにさらされています。pickleの__reduce__メソッドは、逆シリアライズ中に任意のコード実行を許可します。モデルの共有が一般的であり、特にこれらのプロセスは多くの場合昇格された権限で実行されるため、チェックポイントファイルに対する信頼性から、攻撃対象領域は大きくなります。悪意のあるチェックポイントは、モデルの重みがロードされる前にシステムコマンドを実行する可能性があります。現実世界への影響としては、リモートコード実行、権限昇格、データ流出、サプライチェーン攻撃などが挙げられます。NVIDIAは、逆シリアライズを承認されたクラスに制限するカスタムロードメカニズムを実装することで、この脆弱性を修正しました。この事件は、pickleへの依存によるML/AIエコシステムにおける広範なセキュリティ上の課題を浮き彫りにしています。開発者は、信頼できないデータに対してpickleの使用を避け、weights_only=Trueを使用し、信頼できるクラスを制限し、Safetensorsなどの安全なシリアライズ形式を検討するよう強く求められています。組織は、モデルの来歴を監査し、署名を実装し、モデルのロードをサンドボックス化する必要があります。MLコミュニティは、pickleから離れ、フレームワーク設計におけるセキュリティを優先する必要があります。
CdXz5zHNQW_ETMuumC4hx.jpeg
Adobe は 9 月に 9 件のセキュリティ情報を公開し、Acrobat Reader、After Effects、Premiere Pro などの様々な製品で 22 件の固有の CVE に対応しました。ColdFusion のアップデートのみが Priority 1 と評価されていますが、悪用されている兆候はありません。Commerce のアップデートは、悪用が確認されていない単一の Critical なバグを修正します。Acrobat は、1 件の Critical と 1 件の Moderate なバグのパッチを受け取ります。After Effects には 3 件の Important なバグの修正が含まれています。Premiere Pro は、潜在的なコード実行の脆弱性に対するパッチを受け取ります。Substance 3D Viewer と Modeler は、それぞれ 3 件のコード実行バグに対応します。Experience Manager は 7 件の修正で最も多く、そのうち 1 件は Critical です。Dreamweaver のパッチは、クロスサイトリクエストフォージェリのバグを修正します。Adobe の 9 月の脆弱性のいずれも、公開されておらず、リリース時に積極的に悪用されていませんでした。Microsoft は 9 月に 80 件の新しい CVE をリリースし、Windows、Office、Azure などに対応し、8 件が Critical、残りは Important と評価されました。この量は、Microsoft が昨年のパッチリリースを大幅に上回っていることを示しています。公開されているバグが 1 件ありますが、積極的に攻撃されているものはありません。Microsoft HPC Pack の Critical な脆弱性は、ユーザーの操作なしにリモートコード実行を可能にします。Microsoft Office は、プレビューペインを通じてコード実行の脆弱性を引き続き抱えています。Windows NTLM 権限昇格の脆弱性は、低いエクスプロイトの複雑さで SYSTEM への昇格を可能にします。
CdXz5zHNQW_QWIp701lml.png
CdXz5zHNQW_5SvYBDnbFN.png
Pwn2Ownが2025年10月21日から24日までアイルランドのコークで開催されます。Metaが共同スポンサーとして参加します。コード実行につながる0クリックのWhatsAppバグには、100万ドルの高額賞金が用意されています。このイベントでは、モバイルフォン、メッセージング、SOHOスマッシュアップ、スマートホームデバイス、プリンター、NASデバイス、監視システムデバイス、ウェアラブルの8つのターゲットカテゴリが用意されます。モバイルフォンのターゲットにはUSB攻撃ベクトルが追加され、SOHOスマッシュアップカテゴリはより難易度が高くなっています。スマートホームデバイスと監視システムデバイスは、以前のカテゴリが統合されたものです。プリンターでは、既存のターゲットに加えてBrotherが新たなターゲットとして登場します。NASデバイスではSynologyとQNAPが対象となり、特定のSynologyパッケージが範囲に含まれます。ウェアラブルターゲットにはMeta Ray-BanスマートグラスとMeta Quest 3/3Sが含まれ、インタラクション要件によって賞金レベルが異なります。総合優勝者には累積ポイントに基づいてMaster of Pwnのタイトルが授与されます。登録はアイルランド標準時2025年10月16日午後5時に締め切られ、遅延エントリーは例外なく受け付けられません。
CdXz5zHNQW_OodFbgd3rb.jpeg
Cisco Identity Services Engine (ISE) において、特に enableStrongSwanTunnel メソッドに脆弱性があり、root 権限でのコマンド・インジェクションを許可していた。この脆弱性は当初、デシリアライゼーションの脆弱性として報告されたが、コマンド・インジェクションの脆弱性も含まれていた。研究者 Kentaro Kawane は、攻撃者が提供するデータを使用して、sudo 権限でシェル・スクリプトを実行することを発見した。予想よりも複雑な攻撃経路があったため、Java の exec() メソッドがコマンドをトークン化する方法に起因していた。Java の StringTokenizer は引用符を無視するため、直接のコマンド実行ができなかったが、研究者は bash の Internal Field Separator (${IFS}) 変数を使用してこれを回避した。これにより、単一の引数としてコマンドをインジェクションすることができ、トークン化の問題を避けることができた。インジェクションされたコマンドは当初、Docker コンテナー内で実行されたが、コンテナーが特権モードで実行されていたため、研究者は「User-Mode Helpers」テクニックを使用してコンテナーから脱出してホスト・システムの root アクセスを獲得した。ペイロードのスペース・キャラクターの制限を回避するために base64 エンコーディングが使用された。完全なエクスプロイトには、脆弱なエンドポイントに特別にcrafted な POST リクエストを送信することが含まれていた。この成功したエクスプロイトは、複数の脆弱性がシステムの完全な-compromise につながることを示している。研究者は、Java の exec() の動作と特権 Docker コンテナーの能力についての理解の重要性を強調している。さらなる研究が計画されている。
CdXz5zHNQW_BI9SLIJrly.jpeg
マンフレッド・ポールは、Pwn2Own Berlin 2025で、FirefoxのIonMonkey JavaScript JITコンパイラの脆弱性(CVE-2025-4919、ZDI-25-291)を悪用しました。 この脆弱性は、線形式を簡略化するために使用されるExtractLinearSum関数内に存在していました。この関数は、Modulo数学空間を不正に処理し、境界チェックの問題を引き起こしました。 TryEliminateBoundsCheck関数は、ExtractLinearSumを使用して、境界チェックを結合しましたが、潜在的な整数オーバーフローを考慮していませんでした。この欠陥により、大きな型付き配列の境界チェックをバイパスすることができました。 この脆弱性を悪用するには、大きな型付き配列を作成し、インデックスを操作して、境界外の読み取りまたは書き込みをトリガーする必要がありました。 攻撃では、ビット演算を使用して、境界チェックの除去を誤導するためのラッピング加算を強制しました。 コンパイラの最適化が攻撃を妨げないように、BigIntを使用しました。 この脆弱性の根本的な原因は、ExtractLinearSum関数のさまざまな呼び出しサイトでの数学空間の不一致な処理にあります。 ExtractLinearSumをループ分析に使用するIonコンパイラの他の部分にも同様の脆弱性が存在する可能性があります。 Mozillaは、Firefox 138.0.4でこの脆弱性を修正しました。 この攻撃は、JITコンパイラでのチェックされていない整数演算の危険性を示しました。
CdXz5zHNQW_sqeUCNKfYs.jpeg
Adobeはまだ7月の予定されていたパッチをリリースしていませんが、MicrosoftはWindows、Office、Azureを含む様々な製品で130件の新しいCVEをリリースしました。これらのバグのうち8件はTrend ZDIプログラムを通じて報告され、合計140件のCVEとなりました。パッチのうち10件は「Critical(重要)」と評価され、残りは「Important(重要)」と評価されています。1件のバグは一般に知られていますが、現在積極的に攻撃されているものはありません。注目すべきバグとしては、Windows SPNEGO拡張ネゴシエーションコンポーネントにおけるヒープベースのバッファオーバーフローであるCVE-2025-47981があり、これによりリモートから認証されていない攻撃者がコードを実行できます。もう一つの重要なバグは、Microsoft SQL ServerにおけるヒープベースのバッファオーバーフローであるCVE-2025-49717で、コード実行につながる可能性があります。3つ目の重要なバグは、Pwn2Own Berlinのデモンストレーションで使用されたMicrosoft SharePointにおけるリモートコード実行の脆弱性であるCVE-2025-49704です。また、4件の「Critical」評価のOfficeバグもあり、いずれも攻撃ベクトルとしてプレビューペインが記載されています。Microsoftは、Microsoft Office LTSC for Mac 2021および2024のアップデートをまだリリースしていません。Microsoftが2025年7月にリリースしたCVEの完全なリストが提供されています。
CdXz5zHNQW_sYUtDxNrNM.png
CdXz5zHNQW_doHuujeJUd.jpeg
CdXz5zHNQW_E82TteXz7y.jpeg
「Apple macOS オペレーティングシステムの Scriptable Image Processing System (sips) ユーティリティーにコード実行の脆弱性が発見されました。この脆弱性は、ICC プロファイル ファイル内の「lutAToBType」と「lutBToType」タグ タイプの適切な検証によるものです。遠隔攻撃者は、被害者のマシンで実行中のプロセスのコンテキストでコードを実行するために、被害者に作成されたファイルを開くように誘導することができます。脆弱性は、ICC プロファイル ファイルのタグ要素データを処理する sub_1000194D0() 関数にあります。この関数は、「Offset to CLUT」フィールド値を適切に検証しませんため、攻撃者は、タグ要素データの合計長に等しいオフセットを設定することができます。これにより、関数はヒープ割り当てバッファーの末尾を超えてメモリーを読み書きすることになります。遠隔攻撃者は、悪意のある ICC プロファイル ファイルを作成し、被害者に脆弱なバージョンの sips ツールを使用して処理するように誘導することで、この脆弱性を悪用することができます。攻撃を検出するには、検出デバイスは、特定のポートとサービスでのトラフィックを監視し、ICC プロファイル ファイルの内容を検査する必要があります。検出デバイスは、プロファイル署名フィールドを検証し、タグ テーブルのサイズを計算し、不審な活動を検査する必要があります。Apple はこの脆弱性を修正しており、野生での攻撃は検出されていません。この問題を完全に解消するには、ベンダーのパッチを適用することを推奨します。」
CdXz5zHNQW_YdZdrDpgEK.jpeg
CdXz5zHNQW_KOeXIa6cV7.png
使用後解放バグ(use-after-free bugs)は、メモリ破壊の一種であり、静的解析で検出するのが難しい。 この投稿では、Binary NinjaのMLILを使用して、メモリ割り当ての相互作用を追跡するデータフロー グラフを作成する方法を探索する。 グラフは、メモリ領域をノードとして、ポインタの保存をエッジとして表現し、追跡された割り当て、スタックフレーム、動的メモリ、グローバルメモリノードを使用する。 SSA変数はノードにマッピングされ、オフセットはポインタ演算を表すために保存される。 メモリの保存と読み込み操作は、関数のスコープ外の読み込みについては事前に初期化されていると仮定して、グラフのエッジを作成する。 情報は、SSA変数の割り当てとポインタ演算時のオフセット計算に基づいてグラフを通じて伝播する。 引数にマッピングがあるか、スタックオフセットが特定の条件を満たす場合、関数呼び出しは分析され、無限ループを防ぐために再帰が管理される。 グラフの生成後、追跡された割り当てノードに依存する命令はログに記録される。 この分析により、コンテキスト非依存の到達可能性を通じて、潜在的なUAF脆弱性を特定することができる。 このアプローチは、静的解析における固有の分類エラーを認識しているが、他の脆弱性に対する適応可能なプリミティブを強調している。
CdXz5zHNQW_I95VORuwRf.jpeg
この記事では、レベル2電気自動車給電機器(EVSE)を研究し、逆エンジニアリングするために、電気自動車シミュレーター(EVシミュレーター)を開発することについて説明しています。このシミュレーターは、電気自動車の動作を模倣するように設計されており、研究者は、充電中やアイドル状態などのさまざまな状態でEVSEをテストできます。EVシミュレーターは、EVSEと電気自動車間の通信プロトコルを定義するSAE J1772標準に基づいています。シミュレーターは、回転スイッチを使用して、EVSEと通信するために使用されるさまざまな抵抗値をシミュレートします。デバイスには、EVSEによって送信されるPWM信号を監視するために、ダイオードと低コストのオシロスコープも含まれています。著者は、高電圧機器を扱う際の安全性の重要性を強調し、シミュレーターを構築するために使用されるコンポーネントの一覧を提供しています。デバイスは、さまざまなメーカーの複数のレベル2充電器でテストされ、充電状態に成功しました。著者は、研究用に使用できるプレビルドの代替品についても言及していますが、カスタムビルドのシミュレーターと同じレベルの制御と測定を提供しない可能性があることを指摘しています。記事は、EVSEのセキュリティに関する継続的な研究の重要性と、このトピックに焦点を当てた将来のコンテストやイベントの可能性を強調して結論付けます。
CdXz5zHNQW_TyiWXQXVc6.jpeg
アドビは、Acrobat Reader、Illustrator、Substance 3D など、さまざまな製品の 37 の CVE に対処する 7 つのセキュリティ情報を公開しました。これらのバグのうち 6 つは ZDI プログラムを通じて報告され、Reader、Illustrator、InDesign のパッチにより、重大評価のコード実行バグが修正されました。アドビが今月修正したバグは、一般に知られているバグや攻撃を受けているバグとしてリストされていません。Microsoftは、Windows、Office、Azure、およびその他の製品で56の新しいCVEをリリースし、深刻度が6つが「重要」、50が「重要」と評価されました。活発に悪用されたバグの 1 つは Trend ZDI プログラムを通じて提出され、他の 6 つはアクティブな攻撃を受けているとリストされています。悪用されているバグには、Microsoft 管理コンソールのセキュリティ機能のバイパスの脆弱性、Windows NTFS のリモート コード実行の脆弱性、および Windows Win32 カーネル サブシステムの特権の昇格の脆弱性が含まれます。Microsoftは、リモートコード実行、特権の昇格、情報漏えいの脆弱性など、他の脆弱性に対するパッチもリリースしています。同社は、攻撃がどの程度広がっているかについての情報を提供していませんが、パッチを迅速にテストしてデプロイすることをお勧めします。Microsoftが2025年3月にリリースしたCVEの全リストには、67の脆弱性が含まれています。
CdXz5zHNQW_2FAOFfpU13.png
マイクロソフトのWindows Key Distribution Center(KDC)プロキシに脆弱性が発見されました。この脆弱性により、ターゲットサービスに対する任意のコードの実行が可能になります。この脆弱性は、Kerberosレスポンスの長さをチェックしていないことによるものであり、整数オーバーフローにつながる可能性があります。リモートの認証されていない攻撃者は、KDCプロキシを制御下のサーバーにKerberosリクエストを転送するように指示できます。そのサーバーは、改ざんされたKerberosレスポンスを送信します。KDCプロキシは、ネットワークソケットから4バイトを読み取り、Kerberosレスポンスの長さを取得しますが、その長さを検証しません。これにより、整数オーバーフローが発生します。KDCプロキシがフルレスポンスを読み取ろうとしたときに、この脆弱性が発生します。コードフローは、KDCプロキシサーバーとマイクロソフトASN.1ライブラリの関数を交互に実行します。この脆弱性は、改ざんされたKerberosレスポンスをKDCプロキシに送信することで利用できます。KDCプロキシはそれをKDCプロキシメッセージにラップし、クライアントに返します。この脆弱性はマイクロソフトによって修正されており、ユーザーは修正プログラムを適用して悪用を防ぐことを推奨します。この脆弱性は、Microsoft Windows Serverオペレーティングシステムに影響し、リモートで悪用できます。KDCプロキシは、RDPゲートウェイやDirectAccessなどのリモートワークロードを有効にするために使用され、通常はドメインに参加しているマシンで実行されます。
CdXz5zHNQW_Zbm9zDKgFZ.jpeg
CdXz5zHNQW_tskQWJ3zMS.png
2025年2月のパッチ・チューズデーでは、マイクロソフトとアドビがクリティカルなセキュリティ・アップデートをリリースしました。アドビは、InDesignやIllustratorを含む複数のアプリケーションでのコード・エクスキューション・ヴァルナビリティを含む45のCVEを修正しました。アドビの脆弱性は、パブリックリー既知やアクティブ・アタックの対象ではありませんでした。マイクロソフトは、Trend ZDIからの2つを含む、様々な製品での67のCVEをリリースしました。うち4つは、パブリックリー既知やアクティブ・アタックの対象でした。2つのクリティカル・ウィンドウズ・ヴァルナビリティ、CVE-2025-21391とCVE-2025-21418は、プライバシ・エスカレーションを許可し、アクティブにエクスプロイトされていました。もう1つのクリティカル・ヴァルナビリティ、CVE-2025-21376は、ウィンドウズ・LDAPでのリモート・コード・エクスキューションを可能にしました。マイクロソフト・エクセルのクリティカル・ヴァルナビリティ、CVE-2025-21387もパッチされ、プレビュー・パネーの影響を受けました。マイクロソフトは、脆弱性の深刻さとアクティブ・アタックのため、パッチの迅速なテストとデプロイメントを呼びかけました。パッチのボリュームは、以前のリリースよりも管理しやすいと考えられました。
CdXz5zHNQW_zcdjcs4nCR.png
トレンド・ゼロ・デイ・イニシアティブ(ZDI)は、2024年の成果を反省し、Pwn2Own競争の成功や、148個のユニークなゼロデイ・ヴァルナビリティに対して3,500万ドル以上の賞金を授与したことを含む。2024年1月の初開催となったPwn2Own Automotiveイベントでは、49個のユニークなゼロデイ・ヴァルナビリティに対して1,323万ドルの賞金を授与し、記録を樹立した。ZDIは、2024年に1,741個のアドバイザリーを公開し、前年の記録高をわずかに下回った。プログラムの研究者が報告したアドバイザリーは、40%以上を占めた。脆弱性の調整された開示は、2024年の優先事項であり、開示された脆弱性の9.7%がゼロデイであった。2024年のトップ・ベンダーによるアドバイザリーの公開は、AutoDesk、Delta Electronics、Appleであった。2024年に公開されたバグの数は減少したが、ZDIは、2023年に比べてより多くのクリティカルおよびハイ・セブェリティ・バグを公開した。2024年に最も多く報告されたバグのタイプは、スタック・オーバーフローとSQLインジェクションであった。2025年を見据えて、ZDIは、将来のPwn2Ownコンテストや、350件以上のパッチ待ちのバックログに取り組む予定である。プログラムは、ウェブサイトやブログの更新、ビデオ・オファリングの拡大、および顧客のリスクに合わせたアウトリーチやアクイジション・エフォートの改善を計画している。
CdXz5zHNQW_bamwOBsNpy.jpeg
Pioneer DMH-WT7600NEX イン・ビークル インフォテインメント ユニットが、Pwn2Own Automotive コンテストのターゲットに選ばれました。脆弱性の調査のために、ユニットのソフトウェアを抽出する必要がありましたが、シリアル コンソールの欠如とソフトウェア アップデート パッケージの暗号化により、困難を伴いました。研究者たちは、ボード上のテスト ポイント経由で eMMC チップに接続し、メイン SoC をリセット状態に保持することで、eMMC コンテンツをイン・システムで抽出することを選択しました。抽出されたデータは、Linux ベースのシステムであり、GPT パーティション テーブルとブートローダー、カーネル、ルート ファイル システムを含む複数のパーティションを示しました。システム パーティションには、/usr/local/ サブディレクトリーに集中したカスタム ソフトウェアが含まれています。ソフトウェア アップデート パッケージは、ヘッダー、RSA 署名 ブロック、および暗号化されたアップデート データで構成されていることがわかりました。研究者たちは、ブートローダー パーティションを研究し、バックアップ パーティションを操作することで、シリアル コンソールを発見し、コンソール 出力とログイン プロンプトを有効にしました。ユニットの Bluetooth および Wi-Fi コネクティビティ、および USB ポートは、潜在的な攻撃ベクトルを示しています。Wi-Fi コネクティビティを使用すると、オープン TCP ポートと非標準のサービスを発見することができます。ユニットがサポートするさまざまなオーディオ および ビデオ ファイル形式も、exploitable バグの潜在的なソースを示しています。
CdXz5zHNQW_LpqUX1CfWQ.jpeg
Autel MaxiChargerの攻撃面を分析し、脆弱性研究のインスピレーションを提供するために調査しました。調査時点でのソフトウェアバージョンには、Autel Chargeアプリv3.0.7、Autel Configアプリv2.1.0、およびさまざまなAutel MaxiChargerモジュールが含まれていました。Autel Chargeアプリでは、充電スケジュールの定義、ロードバランシング、Wi-Fi資格情報の提供など、多くの機能を提供しています。ルート化されたAndroidデバイスにアプリをロードすると、スーパーユーザー要求が見られ、逆アセンブリ対策が行われていることがわかります。ネットワークトラフィック分析では、チャージャーがAutel関連インフラストラクチャーのDNSリクエストを送信し、サーバーとのTLSセッションを確立しています。チャージャーは、定期的にログデータをAutelサーバーに送信し、JSONデータを受信しています。また、チャージャーはHTTPを介してファームウェア・アップデートをダウンロードしています。ファームウェア・アップデート後、チャージャーは通信にHTTPSのみを使用しています。Wi-Fi経由でのポートスキャンでは、開いているTCPやUDPポートは見つからなかったが、イーサネット・インターフェース経由ではUDPポート6000と6666がリスニングしていることがわかりました。チャージャーのBluetooth Low Energyサービスでは、14のキャラクタリスティックがあり、Autel Chargeアプリがチャージャーとの通信に使用しています。メイン・マイクロコントローラーのファームウェアは、チャージャーのアップデート・プロセスをスニッフィングするか、アプリを逆アセンブリしてダウンロード・URLを特定することで取得できます。ESP32 WROOM 32Dモジュールのファームウェアは、Espressifの標準ツールesptool.pyを使用してダンプできます。他の潜在的な攻撃面には、ドキュメント化されていないUSB Cポート、SIMカードトレイ、RFIDリーダーなどが含まれます。
CdXz5zHNQW_hLiRAoBAIs.jpeg