いろいろ 02/06 001

l  》 サイバーセキュリティの“設定ミス”で組織はどんな危険に晒される？ CISAとNSAが公開したアドバイザリをチェック (Internet Watch, 11/9)

l  Insights from Microsoft Security Copilot early adopters (Microsoft, 11/8)

l  AndroidのパスワードマネージャーからWebViewを悪用して資格情報を盗み出せる脆弱性「AutoSpill」が発見される (gigazine, 2023.12.08)。 悪意あるアプリが WebView 経由でパスワードマネージャーからの入力を要求する場合に欠陥がある模様。 アプリそのものには認証情報は渡らないはずだが、実際には渡ってしまうことがあると。

l  Microsoft、WindowsでWebDAVサービスなど3つの機能を非推奨に (窓の杜, 11/6)。Computer Browser、Webclient (WebDAV)、Remote Mailslots が deprecated に。

 

◆Copilot いろいろ

• 最新のWindows 11 23H2は何が変わった？AIアシスタントのCopilotなど、新機能・更新内容を一挙紹介 (PC Watch, 11/6)
• 正式リリースのMicrosoft 365 Copilot、過大な期待は禁物な理由 (@IT, 11/2)。 E3/E5 かつ 300 ユーザー以上限定、 1ユーザー／月30ドル、教育機関・政府機関は除外、だそうで。
• これならWeb会議中に寝ても大丈夫!? 「Copilot for Microsoft 365」で劇的に便利になるTeams会議 (Internet Watch, 2/5)

• フェイクニュース、ＡＩ、認知戦　２０２４年という選挙のビッグイヤーに何が起きるのか（ジャーナリスト・古田大輔） (時事, 1/10)

 

◆CVE 一覧。48 MS CVE + 5 non-MS CVE だそうで。 CVE 番号が太字なのは critical (最大深刻度: 緊急) 扱い。 （注、私の好みで抜粋した。全件ではない）

• Microsoft Bluetooth ドライバー CVE-2024-21306
• Microsoft Edge (Chromium ベース) CVE-2024-0222 CVE-2024-0223 CVE-2024-0224 CVE-2024-0225
• Microsoft ID サービス CVE-2024-21319
• Microsoft Office CVE-2024-20677
• SQL Server CVE-2024-0056
• Windows Hyper-V CVE-2024-20699 CVE-2024-20700
• Windows 近距離共有 CVE-2024-20690
• Windows 認証方法 CVE-2024-20674
• リモート デスクトップ クライアント CVE-2024-21307

 

◆Fortinet FortiOS / FortiProxy

FortiOS & FortiProxy - Improper authorization for HA requests (FortiGuard Labs, 2024.01.09)。CVE-2023-44250

 

◆Juniper Junos OS / Junos OS Evolved

2024-01 Security Bulletin: Junos OS and Junos OS Evolved: In a jflow scenario continuous route churn will cause a memory leak and eventually an rpd crash (CVE-2024-21611) (Juniper, 2024.01.11)

 

◆Ivanti Connect Secure / Ivanti Policy Secure

Ivanti Connect SecureおよびIvanti Policy Secureの脆弱性（CVE-2023-46805およびCVE-2024-21887）に関する注意喚起 (JPCERT/CC, 2024.01.11)。認証回避 + コマンドインジェクション。

2024.01.16 追記:

Ivanti Connect SecureおよびIvanti Policy Secureの脆弱性（CVE-2023-46805およびCVE-2024-21887）に関する注意喚起 (JPCERT/CC, 2024.01.15 更新)

JPCERT/CCは、本脆弱性を悪用したとみられる攻撃が国内組織に対しても行われた可能性があることを確認しています。同製品を利用している場合は速やかに対処や調査を実施することを推奨します。

Cutting Edge: Suspected APT Targets Ivanti Connect Secure VPN in New Zero-Day Exploitation (Mandiant, 2024.01.12)

2024.01.17 追記:

ヤラレたか否かのチェックには Integrity Check Tool (ICT) を使うのだそうです。 ICT には internal ICT と external ICT の 2種類があり、 両方 clean であれば問題なしと判断できるようです。

• Recovery Steps Related to CVE-2023-46805 and CVE-2024-21887 (ivanti.com, 2024.01.16)

『Both the internal and external ICT successfully identifies the post-advisory activity. If your ICT scans were clean, you are not affected by this activity.

Customers can access direct downloads for the Mitigation and ICT here login required. 』

Ivanti Connect SecureおよびIvanti Policy Secureの脆弱性（CVE-2023-46805およびCVE-2024-21887）に関する注意喚起 (JPCERT/CC, 2024.01.17 更新) にはさらに興味深い情報があって、

『本情報の更新時点では、侵害検出方法として、Ivantiが提供する整合性チェックツール（Integrity Checker Tool）の実行が推奨されています。Ivantiが提供するツールをダウンロードし実行する外部チェック（external ICT）は機器の再起動を伴います。機器に搭載される内部チェック（In-Build ICT）が利用できる場合はそちらの利用をまずご検討ください。ツール実行に関する留意点や条件などの詳細は、Ivantiが提供する最新の情報をご確認ください。』

Ivanti Connect Secure VPN Exploitation Goes Global (volexity.com, 2024.01.15)

2024.01.22 追記:

Ivanti Connect Secure、Ivanti Policy Secureの脆弱性 CVE-2023-46805およびCVE-2024-21887についてまとめてみた (piyolog, 2024.01.17)