headless 曰く、

Microsoft が 11 月のセキュリティアップデートで、Windows 10 Update Assistant の特権昇格の脆弱性 2 件 (CVE-2021-43211 / CVE-2021-42297) を修正している (リリースノート、セキュリティ更新プログラムガイド: CVE-2021-43211 / CVE-2021-42297)。

2 件の脆弱性は Trend Micro Zero Day Initiative (ZDI) の Abdelhamid Naceri 氏が発見したものだ。CVE-2021-43211 (ZDI-21-1233) の方は 6 月に Microsoft へ報告されていたが、120 日以内の修正が間に合わず、ZDIが 10 月 27 日にゼロデイ脆弱性として公表していた。

脆弱性の詳細には触れられていないが、Microsoft は 2 件とも「攻撃者は、システム上の標的となるファイルを削除することしかできません。ファイルの内容を閲覧または変更する特権は得られません。」と説明している。

一方、ZDI の説明によれば、CVE-2021-43211 は攻撃者がディレクトリジャンクションを作成することで Windows Update Assistant を悪用してファイルを削除させることが可能なほか、脆弱性を悪用すれば Administrator のコンテキストで任意コード実行が可能だという。

CVE-2021-42297 (ZDI-21-1334) も CVE-2021-43211 と同様だが、「ディレクトリジャンクション → シンボリックリンク」「ファイルを削除 → フォルダーを削除」「Administrator→SYSTEM」のように置き換えた内容になる。

先日 Naceri 氏がゼロデイとなるバリアントを発表した脆弱性 CVE-2021-41379 でも、Microsoft はファイルの削除のみ可能、Zero Day Initiative は SYSTEM のコンテキストでの任意コード実行が可能と説明していた。

イギリス政府は11月24日、推測しやすいデフォルトパスワードを禁止する法律「Product Security and Telecommunications Infrastructure Bill: PSTI」を導入したと発表した。導入の背景には、タブレット、スマートTVといったインターネット接続可能なIoT機器などスマート家電のセキュリティを強化する目的があるとしている。また、フィットネストラッカーやスマート電球のような直接インターネットに接続しない製品もPSTIの対象になるようだ（英国政府リリース、Engadget、GIGAZINE、iPhone Mania）。

この法律では「password」や「admin」など外部から推測しやすいデフォルトのパスワードを禁止し、新しい機器に搭載されるすべてのパスワードは、それぞれ固有のものでなければならないとしている。またユーザーに対して、キュリティパッチやアップデートの提供予定を伝える義務をメーカーに課している。また提供予定がない場合、それをユーザーに告知する義務もある。なお違反した場合、最大1000万ポンド（約15億2610万円）あるいは世界市場での売上げの4％が罰金として科せられるとしている。

リクルートの提供しているサービス向けID「リクルートID」で、特定のユーザ名を含んだメールアドレスへのメール配信を制限しているそうだ。制限されるユーザ名はサイトに一覧として掲載されているが、「info@」「www@」「admin@」「group@」といったものが制限の対象となっている（リクルートID登録しようとすると「このメールアドレスではリクルートIDからのメールを受信できません」とエラー表示される）。

この件に関する説明記事によれば、プロバイダなどでは不適切なメールを検知してブロックする場合があることから、こうしたアドレスにメール配信をし続けるとドメイン単位でブロックされてしまい、ほかのユーザーへのメール送信に遅延や停止等の支障がでてしまうためだとしている。同社では該当するメールアドレスを利用している場合、メールアドレスの変更を行うように求めている。

あるAnonymous Coward 曰く、

独自ドメインを利用している人は、該当する場合が結構あるのではないでしょうか。

headless 曰く、

crontab タスクにペイロードを隠し、Web スキミングにつながる可能性のあるマルウェア「CronRAT」を発見者の Sansec が解説している (Sansec のブログ記事、 BetaNews の記事)。

CronRAT がペイロードを隠す crontab タスクは 2 月 31 日の実行がスケジュールされている。タスクに文法上の間違いはないものの実行すればエラーとなるが、スケジュールされた 2 月 31 日は決して来ないため、実行されることもない。

タスクからデコードされるペイロードは洗練された Bash プログラムであり、ランダムなチェックサムを持つバイナリプロトコルで Alibaba がホストする IP アドレスの C&C サーバーと通信する。これにより、RAT のオペレーターは任意のコードを実行可能になるという。

CronRAT はある国で最大のオンラインストアを含む複数のオンラインストアで見つかっており、いくつかのケースで サーバーサイドコードへのペイメントスキマー (Magecart) のインジェクションにつながっているそうだ。

crontab タスクに隠れたマルウェアが管理者の注意を引くことはなく、これまではセキュリティ製品の多くが Linux の cron システムをスキャンしなかったが、現在では CronRAT を検出するセキュリティ製品も増加しているようだ。