MicrosoftのVBScriptにゼロデイ脆弱性、北朝鮮のハッカー集団が悪用か

Microsoftの「VBScript」は、Visual Basic風のスクリプト言語であり、Active Scriptingのスクリプトエンジンという形態で実装されているものです。このVBScriptエンジンにはゼロデイ脆弱性が存在しており、北朝鮮のハッカーからDarkHotelを使ったハッキングを受ける可能性が示唆されています。

Zero-Day In Microsoft's VBScript Engine Used By Darkhotel APT
https://www.bleepingcomputer.com/news/security/zero-day-in-microsofts-vbscript-engine-used-by-darkhotel-apt/

VBScriptは最新バージョンのWindowsおよびInternet Explorer 11で使用できるスクリプトエンジンです。ただし、最新のバージョンのWindowsではブラウザの既定の設定でVBScriptの実行が無効となっているため、設定を変更していない限り脆弱性の影響を受けることはありません。VBScriptが実行されるケースはさまざまですが、例えばオフィススイートアプリケーションの場合、ウェブ上のコンテンツをレンダリングするためにInternet Explorerのエンジンを使用しているため、VBScriptが実行されるケースがあります。

セキュリティ企業のトレンドマイクロは、2018年7月にMicrosoftがWindows Updateを更新した翌日に、VBScriptの脆弱性が悪用されていることを発見しました。この脆弱性はアタッカーが侵入先のコンピューター上でシェルコードを実行できるようにするUse After Freeのメモリ破損脆弱性で、「CVE-2018-8373」と名付けられました。なお、脆弱性は2018年8月のWindows Updateで修正されています。

今日は毎月恒例「Windows Update」の日 - GIGAZINE

CVE-2018-8373についてトレンドマイクロのセキュリティ研究者たちが分析した結果、この脆弱性は2018年5月に同じVBScriptの脆弱性として見つかった「CVE-2018-8174」と同じ難読化コードが施されていることが明らかになっています。

このことから、トレンドマイクロのセキュリティ研究者であるエリオット・カオ氏は、2つの脆弱性は同じ起源を持っている可能性があると指摘。中国のセキュリティ企業であるQhooo 360の研究者たちもこの考えを支持しており、脆弱性を用いてコードをダウンロードするために用いられるOfficeドキュメントに埋め込まれたコードに、同じドメイン名が見つけられると指摘しています。

2018年5月に発見された脆弱性のCVE-2018-8174は、DarkHotelを使ったAPT攻撃を行う組織「APT-C-06」との関連が明らかになっています。「解析中にマルウェアが使用した暗号解読アルゴリズムは、APT-C-06の暗号解読アルゴリズムと同一のものである」とQihoo 360の専門家は指摘しており、CVE-2018-8373も同じ組織が悪用していた可能性があります。

これらの脆弱性を悪用したDarkHotelがアジアの高級ホテルなどに滞在する政府機関の関係者をターゲットに運用されていることが判明しています。加えて、セキュリティ企業のマカフィーとIntezerが共同でさまざまなマルウェアを分析調査した結果、このDarkHotelは北朝鮮が過去に使用していたユニークコードを有していることも明らかになっており、北朝鮮がハッキング用に作成したマルウェア群の一部である可能性が示唆されています。