Open4

2022年11月のきになるセキュリティ記事まとめ

MaoSMaoS

IPv4 Address Representations - SANS ISC

IPv4アドレスを謎の数字列で表記する方法について。
よく見る形式(例: 192.0.2.0)以外での記法は、稀に攻撃者が用いてくることで話題になる。
今回は10進法表記で、「.」がない数字だけの文字列になっている。
例えば「URLからドメイン部分を抜き出す」という命題に対し、「"/"で囲われた"."を含む文字列」と定義していると、これは漏れることになる。

記事中にもあるが、このブログにいろいろな記法が紹介されており便利。
https://www.hacksparrow.com/networking/many-faces-of-ip-address.html

MaoSMaoS

マルウェアEmotetの感染再拡大に関する注意喚起(2022-11-04更新) - JPCERT/CC

2022年7月頃から沈黙していたEmotetが、4か月ほどの時を経てメールのバラマキを再開。
7月以前からE4、E5という2つのボットネットが活動していたが、その両方のメールバラマキが観測されるようになったとのこと。
そして、Emotetに感染すると、次の段階としてIcedIDへ感染させるとのこと。
https://twitter.com/Cryptolaemus1/status/1588673059019714560

メール文面にはやExcelマクロを使う点については大きな進化は見られないが、Excelファイルの見た目は変化している。

JPCERT/CCの注意喚起より引用
最近のOfficeではインターネットからダウンロードしたマクロ付きファイルに対し、マクロの実行を防ぐ機能が加えられており、攻撃者も以前同様の手法では感染への可能性が低くなったと考えている模様。
そのため、注意文(に見せかけた攻撃者の誘導)として、システムよりマクロの実行が許可されているディレクトリへのファイル配置を促している。

MaoSMaoS

Microsoft 製品の脆弱性対策について(2022年11月) - 情報処理推進機構

11月のWindows Updateが11/8(日本時間11/9)にリリース。いわゆるPatch Tuesday。
今回の修正対象となる脆弱性には、すでに悪用の事実を確認しているものもあり、至急アップデートが推奨されている。

その他参考になるリンク

  • MSRC(Microsoft)による解説(公式、日本語化済み)

https://msrc-blog.microsoft.com/2022/11/08/202211-security-update/

  • SANSによる解説(英語だが一覧性がありおすすめ)

https://isc.sans.edu/diary/Microsoft+November+2022+Patch+Tuesday/29230

  • Talos(Cisco)にてリリースしたSnortルールに関する情報

https://blog.talosintelligence.com/microsoft-patch-tuesday-for-november-2022/