投機的実行に関する脆弱性「Meltdown」と「Spectre」について

「投機的実行」

「アウト・オブ・オーダー実行」

 

あまり聞きなれないキーワードだったが調べてみた。

投機的実行は処理高速化のため、判断処理が判断する前にある程度先に処理を進めておく方式のようだ。(つまり賭けで先行処理するもの)

 

アウト・オブ・オーダー実行は処理順序に関係なく、先にできるものはやってしまおう、という処理のようだ。

 

簡単だがメモとして。

CySA+ トレーニングと実践演習

キーワードとしてはレッドチーム・ブルーチーム。

あとホワイトチーム。

ホワイトチームは攻撃側と防御側の能力を見極めて、コントロールする係のことのようだ。

 

wirelesswire.jp

 

こんな記事があったが、実際にコンサルしてくれる会社も海外だがあるようだ。

 

フィッシング詐欺のパターン

マカフィーのブログでフィッシング詐欺について乗っていたので見てみた。

一番、やりそうだな、と思ったのが「キャンセルはこちら」を押させるというもの。

変なメールが来て違う人あてかもしれないからとか思って押してしまうようなケースがあればそれも危険だと思った。

(パスワード変更を装うものも引っかかってしまいそうだが・・)

 

blogs.mcafee.jp

 

こんなニュースも去年あったし、危険・・

www.antiphishing.jp

 

 

JVN Update 3/2

Iolo System Shield AntiVirus

AntiSpyware には、バッファエラーの脆弱性が存在。

iolo technologies, LLC. System Shield 5.0.0.136

情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。

JVN 緊急のピックアップ

あんまりしらないものばかりだけど、SAMLは有名だと思う。

 

SugarCRM における XML 外部エンティティの脆弱性

SugarCRM SugarCRM 6.5.17 未満

情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。

 

SimpleSAMLphp におけるアクセス制御に関する脆弱性

SimpleSAMLphp 1.15.2 未満

情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。

⇒警告でオープンリダイレクトの問題もあり。

 

Flexense SyncBreeze Enterprise におけるバッファエラーの脆弱性

Flexense Ltd. SyncBreeze Enterprise 10.4.18

情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。

遠隔操作ツール(RAT)PlugX/BKDR_RARSTONE.A

PlugX

 

過去には独自のHTTPヘッダを使用していたが、使わないようになったり、文字列が難読化されたりのようだ。

感染は標的型メールなどのファイルから。そのフローは以下の1、2、3の順。

1.正規ファイル
2.正規ファイルにより読み込まれる不正なDLLファイル
3.2)の不正な DLLファイルが読み込む不正なコードを含むバイナリファイル

Adobe Acrobat Reader” や Microsoft Office(特に脆弱性「CVE-2010-3333」)に存在する脆弱性を利用)

http://blog.trendmicro.co.jp/archives/6026

http://blog.trendmicro.co.jp/archives/9748

 

BKDR_RARSTONE.A

 

組み込まれたコードは自身をメモリー上で復号化

ダウンロードされたファイルは、システム上に作成されるのではなく、直接メモリーに読み込まれるのでファイル検出機能は役に立たない。

「Uninstall」レジストリーキーのエントリーの情報からインストールされたアプリケーションの情報なども搾取。

C&CサーバへはSSLを使用する点もポイント。

 

(参考)

http://tech.nikkeibp.co.jp/it/article/COLUMN/20130310/462081/

https://www.trendmicro.com/vinfo/jp/threat-encyclopedia/malware/bkdr_rarstone.a

 

CySA+ 環境の変化とは Palo Alto Networks の記事シェア

 パロアルトのブログでクラウドとオンプレのセキュリティの考え方についてあったのでちょっと見てみることに。

 

www.paloaltonetworks.jp

 

IaaSだとOSのメンテナンスはユーザ側の範疇。

次世代ファイアウォールはユーザ端末に入れるエンドポイントセキュリティ製品なのかな・・?

それともフロントのVMにインストールして、後ろのセグメントと通信する構成にしないといけないということかも。

 

 

仮想化によって単一サーバ基盤上に多くのアプリケーションを展開できるため、ある意味、セキュリティ リスクは増大。

 

物理ネットワークの場合、セグメント化はネットワーク、ファイアウォール、セキュリティ ポリシーを使用することで実現。

 

クラウド コンピューティング環境では、特定のサーバ内の仮想マシン間、また場合によっては多様な信頼レベル間で直接通信が行われるため、セグメント化は困難に。

 

(参考)

https://www.paloaltonetworks.jp/solutions/initiatives/public-cloud

 

クラウドの中リソースを共有しているものもあるから物理的な仕組みを知らないといけないことも多いし、今後課題だと思う。

(IoTとかクラウドメインのテクノロジーもセキュリティの問題も多いし。)

 

 

 

Android 端末向け不正アプリ「AndroRAT」

Androidユーザは気にしないといけないかもしれない。

 

初回起動時には、初期インストールされている計算機アプリによく似た中国語の計算機アプリをインストールするようにユーザを誘導、とのこと。

 

Android 端末向け不正アプリ「AndroRAT」の新しい亜種、古い権限昇格脆弱性を利用し端末をルート化 | トレンドマイクロ セキュリティブログ

 

この不正アプリは「Remote Access Tool(RAT)」で、サイレントインストール、シェルコマンドの実行、Wi-Fi パスワードの収集、画面キャプチャのような不正活動のために、脆弱性を利用して端末をルート化。

 

RATの主な行動は以下のようだ。

デスクトップのスクリーンショット撮影
コンピューターに装着されたカメラによる撮影
ファイル操作(ダウンロード、アップロード、実行ほか)
シェル制御(コマンドプロンプトによる)
コンピューター制御(電源オン/オフ)
レジストリ管理(照会、付加、削除、変更)
ハードディスクの破壊(オーバークロック

RATの仕組みが気になったので明日調べてみる。