Trusted Design

CVE-2024-38112 の詳細

CVEの情報

説明:
Windows MSHTML Platform Spoofing Vulnerability

CVE更新日: 2024-07-09 17:15:47.860000

CVSSバージョン: 3.1

CVSSスコア: 7.5

KEVの情報

KEV更新日: 2024-07-09

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.929590000

EPSS更新日: 2026-06-12 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: high

Automatable: False

AIを使った解説

解説:

CVE-2024-38112に関する調査結果を以下に解説します。

1. 脆弱性の概要

CVE-2024-38112は、Microsoft Windows MSHTML Platformに存在するなりすましの脆弱性です。 攻撃者はこの脆弱性を悪用し、ユーザーインターフェースが重要な情報を適切に表示しないことで、情報またはそのソースが隠蔽されたり、なりすまされたりする可能性があります。これはフィッシング攻撃の要素となることが多いです。

この脆弱性は、すでに無効化されているはずのInternet Explorer (IE) を悪用するものです。攻撃者は、MHTMLプロトコルハンドラーとx-uscディレクティブをインターネットショートカット(.url)ファイルを通じて悪用し、不正なコードを実行させることが可能です。

攻撃では、URLショートカットファイルに細工を施し、一見すると書籍のPDFファイルのように見せかけることで、実際には悪意のあるHTMLアプリケーション (HTA) ファイルをダウンロードさせ、実行させる可能性があります。

1.1 影響

この脆弱性が悪用されると、機密性、整合性、可用性に対して高い影響を与える可能性があります。 具体的には、なりすましを介して、被害者のシステム上で任意のコードが実行される恐れがあります。 実際に、この脆弱性は情報窃取型マルウェア「Atlantida」に感染させるために利用されました。

1.2 深刻度

CVE-2024-38112のCVSS v3基本値は7.5で、「重要」(Important) と評価されています。 CVSS v3.1のベクトル文字列は CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H です。

この脆弱性は、CISAのKnown Exploited Vulnerabilities (KEV) カタログに追加されており、実際に悪用が確認されているゼロデイ脆弱性です。 2023年1月から1年以上にわたり、攻撃グループ「Void Banshee」によってゼロデイ攻撃に悪用されていた可能性が示唆されています。

2. 対象となる環境

2.1 影響を受けるOSバージョン

以下のMicrosoft Windows製品が影響を受けます。 * Microsoft Windows 10 (バージョン 1507, 1607, 22H2など) * Microsoft Windows 11 (バージョン 21H2, 22H2, 23H2など) * Microsoft Windows Server (2008 SP2, 2012 R2, 2016, 2019, 2022, 23H2 Editionなど)

2.2 影響を受ける設定

この脆弱性は、特別に細工されたインターネットショートカット(.url)ファイルをユーザーが開くことで悪用されます。 具体的には、MHTMLプロトコルハンドラーとx-uscディレクティブの悪用が関係しています。

3. 影響を受けた時の兆候

影響を受けた際の兆候としては、以下のようなものが挙げられます。 * 情報窃取型マルウェア「Atlantida」への感染。 * 不審なプロセス起動、スクリプト実行、または外部通信(C2)の発生。 * システム情報や様々なアプリケーションから、パスワードやクッキーなどの機密データが窃取される。 * 意図しない不正なHTMLアプリケーション(HTA)ファイルがダウンロードされ、実行される。

4. 推奨対策

4.1 本対策

Microsoftは、2024年7月のセキュリティ更新プログラム(月例パッチ)でこの脆弱性を修正しました。 この更新により、Internet ExplorerからMHTMLハンドラーの登録が解除され、代わりにMicrosoft Edgeで開かれるように変更されました。

ユーザーは、Microsoft Security Response Center (MSRC) が提供するセキュリティ更新プログラムガイドを参照し、ベンダーの指示に従って適切なセキュリティパッチを速やかに適用することが強く推奨されます。

4.2 暫定回避策(緩和策)

  • Internet Explorer (IE) の利用を原則停止し、社内ポータルや端末設定、ショートカットの棚卸しを実施する。
  • IEの利用がどうしても必要な場合は、利用端末を限定する。
  • IEが必要な端末を業務ネットワークから分離し、インターネットアクセスを最小限に抑える。また、プロキシでアクセス先をホワイトリスト化する。
  • EDR (Endpoint Detection and Response) やAV (Anti-Virus) などのセキュリティソリューションによる監視を強化し、不審なプロセス起動、スクリプト実行、外部通信(C2)を重点的に監視・隔離する。
  • Check Pointは、IPS (Intrusion Prevention System) および Harmony Email の保護機能として、IPSシグネチャ「インターネット ショートカット ファイルのリモート コード実行」をリリースしています。

5. 他に解説すべき観点

  • ゼロデイ攻撃での悪用: この脆弱性は、Microsoftが修正パッチを提供する前に、標的型サイバー攻撃グループ「Void Banshee」によってゼロデイ攻撃に悪用されていました。 攻撃活動は2023年1月まで遡ることができ、1年以上悪用されていた可能性が示唆されています。
  • Internet Explorerの「ゾンビ化」: Internet ExplorerはすでにMicrosoftによるサポートが終了していますが、その基盤となるコンポーネント(MSHTML)が悪用されることで、無効化されているはずのIEが起動され、攻撃の足がかりとなることが問題視されています。 これは、企業内のレガシー業務、古いWebアプリケーションの互換性要件、端末更改の遅れなどにより、IE相当のコンポーネントや互換モードが残存している場合に特にリスクとなります。 最新の、より安全なブラウザであるChromeやEdgeではなくIEでURLを開かせることで、攻撃者は大きな利点を得ていました。

参照したサイト

NVDサイト

NVDでCVEの詳細を見る

戻る