今週気になったIT関連のニュース

Sep 2, 2021 23:50 · 1424 words · 3 minute read 今週のニュース

2021年8月23日~2021年8月29日に読んだ中で気になったニュースとメモ書きです。
気になったニュースをまとめている目的はこちら

目次

Azure CosmosDatabaseの危険な脆弱性が修正された

What

  • Microsoftが提供するCosmos Databaseに脆弱性が見つかった。
    • この脆弱性はCosmos DB JupyterNotebookに起因する。
    • この脆弱性を悪用すると、攻撃者はデータベースを管理できるプライマリーキー取得することができる。
    • これにより、他の顧客のDBアカウントを乗っ取り、データベースインスタンスに対して読み取り、書き込み、削除を実行することができる。
  • 全体像

  • Microsoftの発表によると、この脆弱性を悪用した攻撃の証拠は見つかっていない。
  • この脆弱性の影響を受ける可能性のあったCosmosDBの顧客は全体の30%程度?
    • Microsoftが通知を出した顧客が30%だったらしい。
    • 脆弱性の発見者は、数カ月間脆弱性が悪用可能な状態だったので、影響を受ける顧客はもっと多いのでは?と述べている。
  • この脆弱性は何ヶ月も悪用可能な状態であった。
  • 脆弱性を発見した研究者は、全てのCosmos DBが公開された前提で調査を行うことをおすすめしている。

When

  • 2021年8月12日: Wiz Research TeamがMicrosoftに脆弱性を報告する
  • 2021年8月17日: Microsoftは発見者に40,000ドルの報奨金を支払い、48時間以内に問題を軽減する措置をとった

関連記事

オープンリダイレクトの機能を使ったフィッシング攻撃に対してMicrosoftが警鐘を鳴らしている

What

  • Zoomなどの正規のサービスから送信されるメールを装って悪意あるサイトに誘導する攻撃が増えている。
    • イメージは、マーケティングなどの目的としたメール本文にリンクを含むメールと同じ。メールに記載されたリンクをクリックさせる。
    • リンクのドメインに正規のサービスを使い、パラメータとして悪意あるサイトへのリンクを渡すらしい。
  • Microsoftによると、全てのサイバー攻撃の91%がメールを起点にして発生しているとのこと。だからメール部分の防御には力を入れているらしい。

関連記事

HTTP2の機能により発生したWebアプリの脆弱性事例

What

  • HTTP2の機能により発生した脆弱性についての解説記事。
  • 下記の記事を書いた頃はburpはhttp2に対応していなかったが、いつの頃からか対応していた。
  • 「HTTP1.1はテキストベース」「HTTP2はバイナリベース」という仕様の違いを巧みに活用し、改行コードなどを駆使することでWebサーバの意図しない挙動を引き出している。
  • 改行コード以外にも、コロンや複数のヘッダ情報などの事例も紹介されている。

関連記事

最後に

HTTP2の機能により発生した脆弱性の事例はとても興味深かった。

世界に名だたる企業のサービスで脆弱性が見つかっており、脆弱性を報告したことによる報奨金の金額もとてつもない。

今後日本企業のサービスでも問題になる事例が出てくるのではないだろうか。

tweet Share