Oct 27, 2017

サイバー攻撃対策、技適マーク基準見直し

・東京五輪狙うサイバー攻撃対策、技適マーク基準見直しへ (10/26)
現行の基準の主眼は通信障害を防ぐこと 
攻撃に弱い機器が防御の「穴」になるのを防ぐことを目指す 

官民連携でサイバー攻撃の発信源を見つけ、企業や官庁で情報を共有する仕組みも 

Oct 26, 2017

ランサムウェア「BadRabbit」

・ランサムウェアBadRabbitに関する情報についてまとめてみた (10/25)
 http://d.hatena.ne.jp/Kango/20171025/1508921925
「10月24日夜(日本時間)からウクライナやロシアを中心に ...
・感染経路(1):改ざんされたサイトの閲覧による感染
 Flash Player更新インストーラに偽装したドロッパーを誤実行すると感染
・感染経路(2):BadRabbitの拡散機能
 Mimikatzツールを使用して資格情報の抽出を試行
 コード内に書き込まれたID、パスワードを用いて別の端末に感染を拡大
 WannaCryのように脆弱性を利用して他の端末に感染を広げることはない
 ・・・等
」(←編集しました)

・新手のランサムウエア「Bad Rabbit」、
 JPCERT/CCやセキュリティベンダーが警告 (10/25)
 http://itpro.nikkeibp.co.jp/atcl/news/17/102502517/
「対策としてトレンドマイクロでは、不正なWebサイトへのアクセスをブロックすることやネットワーク内の不正通信を検知すること、バックアップを取ることなどを挙げている」

・新たなランサムウエア「Bad Rabbit」について (10/25)
 http://www.jpcert.or.jp/newsflash/2017102501.html

Oct 25, 2017

脆弱性: ランサムウェア亜種・偽物、インフィニオン TPM搭載PC

・インフィニオンのTPM搭載PCでディスク暗号化を破られる可能性、対策はパッチの適用 (10/18)
RSA公開鍵が漏洩すると、それを基に演算によってRSA秘密鍵が割り出される恐れ

・暗号化しないランサムウェア「ShinigamiLocker」と、スクリーンロッカー/偽ランサムウェアの脅威 (10/18)

--> 10/27 追記
・ランサムウェアの注視すべき状況 (10/19)
1日あたり4,000件以上のランサムウェア攻撃が発生し、毎月35万台のデバイスに感染

2015年に2,400万ドルだった身代金の支払い額は、
2016年には8.5億ドル以上に増加し、
今年は10億ドルを超えると確実視

最大の脅威は、支払い要求ではなくビジネスへの影響
ランサムウェア攻撃を受けた企業の20%(英語)は、攻撃後に廃業に追い込まれています


新製品・サービス: マルウェア感染端末検知・隔離、USBセキュリティ、KDDI SD-WAN

・ネットワン、マルウエア感染端末を検知・隔離するサービスを投入 (10/25)
環境に応じて、
米フォアスカウト・テクノロジーズの端末可視化・制御アプライアンス「ForeScoutACT」、
米コアセキュリティの通信監視アプライアンス「Damballa Network Insight」、
米カーボン・ブラックのEDR(エンドポイント検知・対応)ソフト「Cb Response
を取捨選択して組み合わせる。

・ セキュリティ 日立が新発想のUSBセキュリティ、利用制限をハードで後付け (10/24)
USBデバイスの各種IDを識別子にホワイトリスト方式でUsbMonitorに登録 ...
PC側のUSBポートは、非公開のロック機構で固定 ...
価格は個別見積もり

KDDISD-WANサービスを発売、専用機器で簡単に環境構築 (10/24)

--> 10/26 追記
NTT東日本、VPNサービス「フレッツ・VPN ゲート」の
 ユーザー認証代行機能の利用対象を拡大 (10/25)

・サイバー攻撃を一斉遮断
 国・業者、機器乗っ取り対策 インフラ守る (10/25)
 https://www.nikkei.com/article/DGKKZO22649490U7A021C1MM8000/
 ISP間でC2サーバ情報を交換し、遮断する模様

Tor Browserの安全な設定方法、wizSafe Security Signal

wizSafe Security Signal 20179月 観測レポート (10/19)



Tor Browserの安全な設定方法 (07/04)

https://www.2ch.work/tech/7496
3.設定編
torrcの設定
Security Levelの設定(追記:2017712)
Cookieの設定
リファラの設定(修正:2017712)
NoScriptの設定

 当該サイトは、タイムリーに情報更新されている模様
 閉鎖されたようなので、関連情報を以下にメモしておく。

・Tor Browser

https://www.torproject.org/projects/torbrowser.html
Download, Instruction for installation ..etc 

・torrcファイルについてのメモ (2018-02-23)

http://ebimanion.hateblo.jp/entry/2018/02/23/210115
 『torrcの例
  あくまで例です。
ExcludeNodes {jp},{us},{gb},{ca},{au},{nz},{dk},{fr},{nl},{no},{de},{be},{it},{es},{il},{sg},{kr},{se},127.0.0.1,SlowServer

ExcludeExitNodes {jp},{us},{gb},{ca},{au},{nz},{dk},{fr},{nl},{no},{de},{be},{it},{es},{il},{sg},{kr},{se},{bg},{cz},{fi},{hu},{ie},{lv},{lt},{lu},{ro},{se},{ch},{ru},{hk},127.0.0.1

StrictNodes 1

NumEntryGuards 15

  』


・Security Slider

https://tb-manual.torproject.org/security-slider.html
デフォルトはStandardだけど、Safer くらいでも支障ないだろう 

・Torブラウザーを安全に使う設定方法【追記あり】 (2015/04/11)

 Cookieの無効化・Torブラウザー設定
https://megalodon.jp/2016-0103-0053-49/hoxu.jp/about/post-602/

・Firefox で HTTPリファラ(referer / referrer)の送信を制御する :技術クリップ

https://aruo.net/arbk/blog/article/configuration_items_of_http_referrer_on_mozilla_firefox_web_browser

・NoScriptの設定について (2017/02/26)

https://forums.mozillazine.jp/viewtopic.php?f=2&t=16526

--> 2020/11/07 追記

Firefoxから tor socks proxyを使う場合は

おきて破り。リスク承知で使う場合、
network.proxy.socks_remote_dns true が重要
network.dns.blockDotOnion true でも(falseでも) .onionサイトにアクセス出来ている

参考
socks_remote_dns should default to true if using a SOCKS proxy

Firefox does not open .onion websites

Oct 18, 2017

Googleいろいろ

・Windows用Chromeブラウザに問題のあるソフトウェアをスキャンして削除するなど3つの新機能が実装される (10/17)
 http://gigazine.net/news/20171017-chrome-cleanup/

・ハッカー攻撃されるリスクが特別高い人たちにGoogleが“最強のセキュリティ”を提供 (10/18)
 http://jp.techcrunch.com/2017/10/18/20171017google-launches-strongest-security-opt-in-program-for-high-risk-users/

 1. 2FAで Gmail, Googleユーザをフィッシングから守る
 2. Gmail, DriveへのアクセスをGoogleアプリ/アプリケーションのみに限定
 3. アカウントのリカバリ処理を複雑に


Oct 17, 2017

トヨタ固体電池、オープンソースファイアウォール向けOS「pfSense 2.4.0-RELEASE」


・トヨタ、高性能の全固体電池を開発――2020年にも実車搭載へ (07/26)
 http://jp.techcrunch.com/2017/07/26/20170725toyotas-new-solid-state-battery-could-make-its-way-to-cars-by-2020/

・オープンソースのファイアウォール向けOS「pfSense 2.4.0-RELEASE」リリース (10/13)
 https://mag.osdn.jp/17/10/13/164500


WPA2脆弱性「key reinstallation」

・Wi-Fi認証のWPA2に複数の脆弱性? 研究者が公表を予告 (10/16)
 https://japan.cnet.com/article/35108828/
 『WPA2プロトコルの鍵管理に関する複数の脆弱性が見つかり、
  「key reinstallation」と呼ばれる攻撃によって悪用可能 ...
  脆弱性はプロトコルレベルの問題 ...
  機器の実装状況などに応じて攻撃手法や影響は異なる可能性がある』

 Key Reinstallation Attacks
 Breaking WPA2 by forcing nonce reuse
 https://www.krackattacks.com/
--> 10/25 追記、ここから
https://www.krackattacks.com/#norouterupdates  の意訳
ルーターのセキュリティアップデートが無かったら   
主な攻撃は 4-way handshakeに対するもので、Access Pointを悪用するのではなく、ターゲットクライアントを悪用します。
・・・中略・・・
ルータやアクセスポイントに対する攻撃を緩和するには、クライアント機能を無効にし、さらに 802.11r (fast roaming)を無効にすれば良いでしょう。
普通の家庭ユーザは、まず、ラップトップやスマホなど、クライアントをアップデートすべきです。

アクセスポイントにパッチ適用するだけで十分? またはクライアントだけでOK?      
現状ではすべての脆弱なデバイスにパッチを適用すべきです。
・・・中略・・・
ただし Fast BSS Transition handshake (802.11r)をサポートするアクセスポイントのみ、脆弱な事に注意ください。

◆関連 
 自宅をハッカーから守る ホームルーターの安全を確保する4つのステップ――ESET (10/24)
 http://www.atmarkit.co.jp/ait/articles/1710/24/news051.html

--> 10/25 追記、ここまで

 WPA2の脆弱性「KRACKs」、ほぼすべてのWi-Fi信可能な端末機器に影響 (10/17)
問題の脆弱性が利用されると、暗号化の際に鍵と共に利用される補助的変数(nonce)が、本来はセキュリティ保護のためワンタイムパスワードのようにその都度生成されるはずにも関わらず、何度も再利用される恐れがあります。また、問題の脆弱性を突くことで、復号化、パケットのリプレイ、TCP接続への乗っ取り、HTTPコンテンツへのインジェクションなどが可能となる ...

対策は 
Wi-Fi接続可能な端末機器、ルーター、ハードウェアのファームウェアは、
KRACK に対する更新プログラムが有効になり次第、直ちに適用する。

--> 10/18 次のまとめサイト追記
 WPA2の脆弱性 KRACKsについてまとめてみた (10/16) 
 http://d.hatena.ne.jp/Kango/20171016/1488907259
MS, Google, Apple, Aruba Networks, Cisco, Fortinet, FreeBSD Project, Juniper Networks, NETGEAR, OpenBSD, Red Hat, Ubuntu, WatchGuard, IODATA, BUFFALO, ヤマハ 他のパッチ情報リンク集
こちらも参照
 http://www.st.ryukoku.ac.jp/~kjm/security/memo/2017/10.html#20171017_wpa2

VPNを利用する
通信の内容が暗号化されていれば傍受されていても内容を盗まれることはないので。

Wi-Fi通信の到達範囲からしか攻撃ができないため、無線LAN の電波調査(サイトサーベイ)を実施する。
現在の無線LAN到達範囲を把握して、初期に実施しているサイトサーベイと結果が変わっていないか確認する。
また AP の監視を行い見知らぬ MACアドレスがないかなど監視する

Wi-Fi のアクセスポイントの固有名を示す「SSID」を見直す
自社の Wi-Fi接続およびネットワークを不審者から特定されるのを最小限に抑えるため、
』 (←一部編集しました)

--> 10/27 追記
WPA2にも脆弱性が見つかる (10/18)


フリーWi-Fiを、安全に
 フリーWi-Fiプロテクション
 7日間無料



Oct 16, 2017

Bluetooth脆弱性「BlueBorne」


・多数のBluetooth接続機器に影響する脆弱性--セキュリティ企業が警告 (09/13)
 https://japan.zdnet.com/article/35107191/

 『Bluetooth接続を利用している「ほぼすべて」の製品に影響する可能性のある
  一連の脆弱性が明らかになった。
  ...
  セキュリティ企業Armisの研究者らが「BlueBorne」と総称した8件の脆弱性は、
  Bluetoothの短距離無線プロトコルに対応するデバイスに影響を及ぼす。』

 Vulnerability Note VU#240311
 Multiple Bluetooth implementation vulnerabilities affect many devices (09/12-19)
 https://www.kb.cert.org/vuls/id/240311
 『
  Impact
   An unauthenticated, remote attacker may be able
   to obtain private information about the device or user,
   or execute arbitrary code on the device.

  Solution
   Apply an update

   Patches are available in the latest releases of
   Windows (see Microsoft bulletin), iOS, the Linux kernel,
   and Android (see September 2017 security bulletin).
 』

--> 10/17追記
・脆弱性「BlueBorne」:Bluetooth機能をオフ、そして直ちに更新プログラム適用を (09/20)
1.更新プログラムを摘要
 例外、幾つかの LinuxベースのOS
2.Bluetooth機能をオフに
 
ユーザは、バージョンと使用環境によって Bluetoothの通信範囲を 10100メートルの範囲で設定して調整できますが、
攻撃者は高利得アンテナで大幅に範囲を拡張できることにも注意してください
--> 10/27 追記
・「BlueBorne」は数十億台のBluetoothデバイスに影響か (09/25)


Oct 13, 2017

nmap出力のCSV化(改行コードの処理)

nmapの出力は、こんなフィルタを通して、CSV化すると良い。
perl を使うと、こんなにスッキリ書けるのか!!

% vi filter-nmap.sh
perl -pe 's/\n/, /g'                                                              | \
    sed s/Nmap.scan.report.for./_______________\\n\\n/g | \
    sed 's/Host is up//g'                                                       | \
    sed 's/|  //g'

使用例
%nmap –script=smb-os-discovery,smb-vuln-ms17-010    | \
   –Pn –p80,139,445 –scan-delay 1 192.168.1.0/24 > file1

%cat file1 | ./filter-nmap.sh > file1.csv

参考にしたところ
 ・改行(\n)をスペースに置換するコマンド (2015/10/29)

--> 10/17追記

例えば、下記のスクリプト利用の際、前述フィルタを通してやると良い


### http-vuln-cve2012-1823
nmap -sV --script http-vuln-cve2012-1823 <target>
nmap -p80 --script http-vuln-cve2012-1823 --script-args http-vuln-cve2012-1823.uri=/test.php <target>

User Summary:
Detects PHP-CGI installations that are vulnerable to CVE-2012-1823, 
This critical vulnerability allows attackers
to retrieve source code and execute code remotely.

The script works by appending "?-s" to the uri to make vulnerable php-cgi handlers 
return colour syntax highlighted source.
We use the pattern "<span style=.*>&lt;?" to detect vulnerable installations.


### http-vuln-cve2015-1427
nmap --script=http-vuln-cve2015-1427 --script-args command= 'ls' <targets>

User Summary:
This script attempts to detect a vulnerability, CVE-2015-1427,
which allows attackers to leverage features of this API 
to gain unauthenticated remote code execution (RCE).

Elasticsearch versions 1.3.0-1.3.7 and 1.4.0-1.4.2 have a vulnerability 
in the Groovy scripting engine.
The vulnerability allows an attacker to construct Groovy scripts that escape the sandbox
and execute shell commands as the user running the Elasticsearch Java VM.


http-vuln-cve2015-1635
nmap -p80 --script http-vuln-cve2015-1635.nse <target>

User Summary:
Checks for a remote code execution vulnerability (MS15-034) 
in Microsoft Windows systems (CVE2015-2015-1635).

The script sends a specially crafted HTTP request with no impact on the system 
to detect this vulnerability.
The affected versions are Windows 7, Windows Server 2008 R2, Windows 8, 
Windows Server 2012, Windows 8.1, and Windows Server 2012 R2.


http-vuln-cve2017-5638
nmap -p <port> --script http-vuln-cve2017-5638 <target>

User Summary:
Detects whether the specified URL is vulnerable 
to the Apache Struts Remote Code Execution Vulnerability (CVE-2017-5638).


http-vuln-cve2017-5689
nmap -p 16992 --script http-vuln-cve2017-5689 <target>

User Summary:
Detects if a system with Intel Active Management Technology
is vulnerable to the INTEL-SA-00075 privilege escalation vulnerability (CVE2017-5689).

This script determines if a target is vulnerable by attempting to perform digest authentication
with a blank response parameter. If the authentication succeeds, 
a HTTP 200 response is received.

        Intel Active Management Technology (AMT) にアクセス制限不備の脆弱性

### http-vuln-cve2017-8917
nmap --script http-vuln-cve2017-8917 -p 80 <target>

User Summary:
An SQL Injection vulnerability affecting Joomla! 3.7.x before 3.7.1 
allows for unauthenticated users to execute arbitrary SQL commands.
    ...


smb-vuln-cve-2017-7494
nmap --script smb-vuln-cve-2017-7494 --script-args smb-vuln-cve-2017-7494.check-version -p445 <target>

User Summary:
Checks if target machines are vulnerable 
to the arbitrary shared library load vulnerability CVE-2017-7494.

Unpatched versions of Samba from 3.5.0 to 4.4.13, and versions prior to 4.5.10 and 4.6.4 are affected by a vulnerability that allows remote code execution, allowing a malicious client to upload a shared library to a writable share, and then cause the server to load and execute it.
    ...
The script checks the preconditions for the exploit to happen:

    1) If the argument check-version is applied, the script will ONLY check services 
  running potentially vulnerable versions of Samba,
       and run the exploit against those services.
    ...


smb-vuln-ms10-061
nmap  -p 445 <target> --script=smb-vuln-ms10-061

User Summary:
Tests whether target machines are vulnerable to ms10-061 Printer Spooler impersonation vulnerability.

This vulnerability was used in Stuxnet worm.
The script checks for the vuln in a safe way without a possibility of crashing the remote system as this is not a memory corruption vulnerability.
In order for the check to work it needs access to at least one shared printer on the remote system.
By default it tries to enumerate printers by using LANMAN API which on some systems is not available by default.
In that case user should specify printer share name as printer script argument.
To find a printer share, smb-enum-shares can be used.
Also, on some systems, accessing shares requires valid credentials which can be specified with smb library arguments smbuser and smbpassword.


smb2-vuln-uptime
nmap -O --script smb2-vuln-uptime <target>

nmap -p445 --script smb2-vuln-uptime --script-args smb2-vuln-uptime.skip-os=true <target>

User Summary:
Attempts to detect missing patches in Windows systems by checking the uptime returned during the SMB2 protocol negotiation.

SMB2 protocol negotiation response returns the system boot time pre-authentication.
This information can be used to determine if a system is missing critical patches without triggering IDS/IPS/AVs.

Remember that a rebooted system may still be vulnerable.
This check only reveals unpatched systems based on the uptime, no additional probes are sent


rdp-vuln-ms12-020
nmap -sV --script=rdp-vuln-ms12-020 -p 3389 <target>

User Summary:
Checks if a machine is vulnerable to MS12-020 RDP vulnerability.

The Microsoft bulletin MS12-020 patches two vulnerabilities:
CVE-2012-0152 which addresses a denial of service vulnerability inside Terminal Server, and
CVE-2012-0002 which fixes a vulnerability in Remote Desktop Protocol.
Both are part of Remote Desktop Services.

        MS12-020: Vulnerabilities in Remote Desktop Could Allow Remote Code Execution (2671387)


脅威情報レポート (FireEye)


時々見ておくと良さそう

F35情報漏えい、China Chopper Web Shell ほか

・企業はDNSを狙うサイバー攻撃に弱い--Infoblox調 (10/12)
『企業の多くが実際に攻撃を受けてからDNSの防御に取り組みだ ...
 予防措置的に取り組まなければ、Dynで発生したような被害が蔓延するだろう』

F35戦闘機の情報、豪防衛業者から盗まれる 中国ハッカーか (10/12)
「チャイナ・チョッパー(China Chopper)」と呼ばれるツールが使われていた
不正アクセスを受けたのは従業員50人規模の航空宇宙企業
被害に遭ったのは昨年7月だが、豪政府機関のオーストラリア通信電子局(ASDがハッキングに気付いたのは11
F35戦闘機やP8哨戒機の情報のほか、豪海軍の新造艦1隻の「艦長席まで拡大表示できる」3次元図面データも盗まれた
総事業費500億豪ドル(約44000億円)に上る ... 次期潜水艦 ... 標的としたサイバー犯罪が増えている

 THE LITTLE MALWARE THAT COULD:
 Detecting and Defeating the China Chopper Web Shell

 【レポート】最新のサイバー攻撃 “破壊型攻撃”を徹底解剖 (2015/05)
Exploit NetworkDump Admin CredentialsSteal DataDeploy Wiper Malware
に至る事例を交えた説明。早期ステップで発見、封じ込めが鍵

Oct 12, 2017

北朝鮮ハッカーが米韓軍事文書入手、Accenture機密情報管理不備

・北朝鮮ハッカー、指導部暗殺作戦含む米韓軍事文書入手=韓国議員 (10/11)

https://jp.reuters.com/article/northkorea-cybercrime-southkorea-idJPKBN1CG03K
『昨年9月 ... 35ギガバイトの軍事文書が国防統合データセンター(DIDC)から流出 ...
 北朝鮮はサイバー攻撃への関与を否定 ...
 李氏によると、流出したデータには指導部の移動状況の把握や隠れ場所の封鎖の方法、空からの攻撃など、暗殺前の段階について記されている文書が含まれている。

 北朝鮮が韓国軍イントラネットに侵入した方法 (10/12)
 http://jp.wsj.com/articles/SB11681246759541464602504583447412622358912
『第三者のセキュリティーソフトウエアを介して侵入した可能性』
韓国製アンチウイルスだったとのこと


・アクセンチュア、機密情報を危険なサーバに放置--秘密鍵やパスワードが外部に (10/11)

https://japan.zdnet.com/article/35108606/
 『
4台のサーバはAmazon Web Services(AWS)のストレージサービス「Amazon S3」でホスティング ...
サーバのWebアドレスさえ分かっていれば、パスワードなしでデータをダウンロード ...

データを発見したのは、セキュリティ企業UpGuardのサイバーリスク調査担当ディレクター ...

なりすましに必要となる秘密鍵やパスワードなど、さまざまなセキュリティ認証情報があったという。
パスワードにはテキストの形で保存されていたものもあった ...

AWSのKey Management System(KMS)でAccentureが使用するマスターキーも発見 ...
これが盗まれると、攻撃者はAccentureがAWSのサーバに格納している暗号化データを完全に制御できてしまう ...
「このKMSマスターキーで保護されている資産とインフラは、完全に侵入されたと思ってよい」(White氏)

あるサーバには、Accentureと同社の顧客の間の暗号化通信の複号に必要な鍵と証明書が格納されていた。Vickery氏によると、Accentureが「Google Cloud Platform」、「Microsoft Azure」にアクセスするのに必要だと思われる証明書も含まれていたという ... これが盗まれると、攻撃者はAccentureの社内ネットワークへのアクセスを可能にする仮想プライベートネットワークキーに加えて、クラウド資産へのアクセスを手に入れることができる


Apple IDパスワード盗難用 偽popup、偽Adblock Plus、Google Home Miniが盗聴器に

・【注意】Apple IDのパスワードを求めるポップアップ、本物と偽物の見分け方 (10/11)
 https://iphone-mania.jp/news-188749/
 『Appleによる本物のポップアップなら、
  アプリを閉じてもポップアップは表示されたままのはず...
  2ファクタ認証も有効』
 』

 iOSのポップアップを偽装し、
 Apple IDやそのパスワードを盗み取るPoCが公開される。(10/11)
 https://applech2.com/archives/20171011-ios-password-popup-phishing-poc.html

・「Adblock Plus」のニセモノがChromeウェブストアで配布され
 3万7000人がダウンロードしてしまう事態が発生 (10/10)
 http://gigazine.net/news/20171010-phony-adblock-plus-extension/

・「Google Home Mini」に周囲の音声を常時録音し
 Googleへと送信する不具合が見つかる (10/12)
 http://gigazine.net/news/20171012-google-home-mini-spy/
 『事前予約を受けてこれから発送される製品は、上記不具合の影響を受けない』

Oct 6, 2017

米グーグル、翻訳するイヤホン 新型携帯と同時利用で

 10/5の記事


カスペルスキー脆弱性とNSA機密情報、Yahoo 30億以上流出、ドリームボット初摘発

・ロシアのハッカーがカスペルスキーのウイルス対策ソフトを使ってNSAの機密情報を盗み出したと判明 (10/06)
 http://gigazine.net/news/20171006-russian-hacker-spy-nsa-using-kaspersky/
『ハッキングは、NSAから諜報活動を請け負う企業の従業員が、NSAの機密情報の入ったデータを持ち帰り、カスペルスキーのソフトがインストールされた自宅のPCに保存したところ、ロシアのハッカーはカスペルスキーのソフトの脆弱性を使って、機密情報を盗み出したとWSJは結論づけています』

・米Yahoo、30億以上の全アカウントの情報流出が明らかに、2013年8月の個人情報漏えいで (10/04)
 http://internet.watch.impress.co.jp/docs/news/1084314.html
『Yahooが運営していたが“Yahoo”のブランド名を冠していない「Flickr」「Tumblr」といったサービスのアカウントも影響を受けるとみられる。
 なお、日本のヤフー株式会社は公式Twitterで、「Yahoo! JAPANのお客様への影響はない」とコメント』
関連 http://akasaka-taro.blogspot.jp/2016/12/yahoo10.html

・最新ウイルス「ドリームボット」初摘発 不正送金事件 (10/05)
 http://www.asahi.com/articles/ASKB464YJKB4UTIL040.html

Oct 5, 2017

セキュリティ更新プログラムの深刻度評価、緊急と重要の違い。MS08-067メモ

復習メモ

・セキュリティ更新プログラムの深刻度評価システム
 「
緊急 (Critical)  ... マイクロソフトは、お客様が「緊急」の更新プログラムを早急に適用することを推奨します。
重要 (Important) ... マイクロソフトは、お客様が「重要」の更新プログラムをできる限り早く適用することを推奨します。
警告 (Moderate)  ... マイクロソフトは、お客様が「警告」のセキュリティ更新プログラムの適用を検討することを推奨します
注意 (Low)       ... マイクロソフトは、お客様が影響を受けるシステムに対して
           セキュリティ更新プログラムを適用するか否か判断することを推奨します。
  」

・マイクロソフト セキュリティ情報 MS08-067 - 緊急 (2008/10/24)
 Server サービスの脆弱性により、リモートでコードが実行される (958644)
 対象:Win 2000, XP, 2003, Vista, 2008 

Vulnerability Note VU#827267
 Microsoft Server service RPC stack buffer overflow vulnerability (2008/10/23 - 2009/11/02)
Exploit code for this vulnerability is publicly available, and the vulnerability is being currently exploited in the wild.

Oct 3, 2017

nmapとsmb-vuln-ms17-010について

nmapの本や、Blackhat USAでもご活躍のPaulino Calderonという人の解説が興味深いので、自分用のメモを以下に

インストール

#nmap --script-updatedb
脆弱性を見つけるには
$nmap --script smb-vuln-ms17-010 -p445 <target>

動作原理

スクリプトは 'IPC$' tree に接続、FID 0 にトランザクション実行を試みる。
エラー "STATUS_INSUFF_SERVER_RESOURCES" が返ってくれば、
マシンは ms17-010に脆弱。
パッチされたシステムは "STATUS_ACCESS_DENIED"を返す。
スクリプトは IPC$ へのアクセスを要求する。
IPC$への匿名アクセスを制限しているシステムでは、
この脆弱性検査のために、認証情報を提供しなければならない(参照、下記)
$nmap --script smb-vuln-ms17-010 --script-args smbuser=<user>,smbpass=<pass> -p445 <target>

パッチ適用済みか

スクリプトのレポートを取得するには、verbosityを有効に
$nmap -v --script smb-vuln-ms17-010 -p445 <target>
結果は、次の通り:
Host script results:
|_smb-vuln-ms17-010: This system is patched.

バックドアがあるか

システムが smb-double-pulsar-backdoorと呼ばれる
DOUBLEPULSAR を埋め込まれているか
検査するための NSEスクリプトがあります。
$nmap --script smb-double-pulsar-backdoor -p445 <target>

最後に

「Win 7, 8.1, 10で試して期待通りの動作。
 問題に気づいたらpcapを送ってください。」だそうです。

出典

https://github.com/cldrn/nmap-nse-scripts/wiki/Notes-about-smb-vuln-ms17-010
------ 以下、2017/10/09 追記

メタスプロイト、末尾のリンクからダウンロード可能

動作の仕組み
これも IPC$に接続試行しFID 0のトランザクション後、
"STATUS_INSUFF_SERVER_RESOURCES"が返ってきたら、MS17-010のパッチ未適用と判断。
 
もしMS17-010パッチが未適用だったら、本モジュールは DoublePulsar 感染有無をチェック。
デフォルトのサーバ設定だと、本モジュールには、有効なSMB認証情報は不要。
ユーザ "\" としてログオンし、IPC$ に接続できるので、とのこと。

出典
 https://www.rapid7.com/db/modules/auxiliary/scanner/smb/smb_ms17_010
--> 2018.05.20 追記
矢印の順に試したところ。
手元のアンチウイルスは無反応だった。

SMBv1を無効にして、nmapで探索を再実行

すると(「patched」じゃなく)、「Could not connect to 'IPC$'」と表示された
...