ESETはこのほど、「RomCom exploits Firefox and Windows zero days in the wild」において、FirefoxおよびThunderbirdから緊急の脆弱性を発見したとして、注意を喚起した。
この脆弱性はWindowsの脆弱性と組み合わせて、マルウェアの配布に悪用されたという。
脆弱性の情報
脆弱性に関する情報は次のページにまとまっている。
- Security Vulnerability fixed in Firefox 131.0.2, Firefox ESR 128.3.1, Firefox ESR 115.16.1 — Mozilla
- Security Vulnerability fixed in Thunderbird 131.0.1, Thunderbird 128.3.1, Thunderbird 115.16.0 — Mozilla
- CVE-2024-49039 - セキュリティ更新プログラム ガイド - Microsoft - Windows タスク スケジューラの特権の昇格の脆弱性
FirefoxおよびThunderbirdから発見された脆弱性の情報(CVE)は次のとおり。
- CVE-2024-9680 - アニメーションタイムラインに解放後使用(UAF: use-after-free)の脆弱性。攻撃者はコンテンツプロセスにおいて任意のコードを実行できる可能性がある(CVSSスコア:9.8)
Windowsから発見された脆弱性の情報(CVE)は次のとおり。
- CVE-2024-49039 - タスクスケジューラーに特権昇格の脆弱性(CVSSスコア:8.8)
マルウェアを配布
これら脆弱性は、ロシアに関係するとみられる脅威グループ「RomCom(別名:Storm-0978、Tropical Scorpius、UNC2596)」により、マルウェアの配布に悪用されたことが確認されている。確認された侵害経路は次のとおり。
- 被害者が悪意のあるWebサイトにアクセスする
- 脆弱性を悪用することでユーザー操作を介することなく悪意のあるシェルコードを実行する
- 悪意のあるシェルコードはライブラリーをロードし、サンドボックスを抜け出してバックドアを展開する
- 正常なWebサイトにリダイレクトして攻撃を隠蔽する
影響と対策
ESETのテレメトリーによると2024年10月10日から11月4日までの期間中、侵害された可能性のあるユーザーは欧州および米国のユーザーとされる。アジア地域のユーザーへの影響は確認されていない。
これら脆弱性は次のバージョンの製品、および更新プログラムにて修正されている。
- Firefox 131.0.2
- Firefox ESR 128.3.1
- Firefox ESR 115.16.1
- Thunderbird 131.0.1
- Thunderbird 128.3.1
- Thunderbird 115.16
- KB5046617 - Windows 11 Version 24H2, Windows Server 2025
- KB5046696 - Windows 11 Version 24H2, Windows Server 2025 - HotPatch
- KB5046633 - Windows 11 Version 23H2, Version 22H2
- KB5046613 - Windows 10 Version 22H2, Version 21H2
- KB5046618 - Windows Server 2022 23H2 Edition
- KB5046616 - Windows Server 2022
- KB5046698 - Windows Server 2022 - HotPatch
- KB5046615 - Windows Server 2019
- KB5046612 - Windows Server 2016
FirefoxおよびThunderbirdから発見された脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。影響を受ける製品を利用しているユーザーには、上記または最新バージョンにアップデートすることが推奨されている。