ESETはこのほど、「RomCom exploits Firefox and Windows zero days in the wild」において、FirefoxおよびThunderbirdから緊急の脆弱性を発見したとして、注意を喚起した。

この脆弱性はWindowsの脆弱性と組み合わせて、マルウェアの配布に悪用されたという。

  • RomCom exploits Firefox and Windows zero days in the wild

    RomCom exploits Firefox and Windows zero days in the wild

脆弱性の情報

脆弱性に関する情報は次のページにまとまっている。

FirefoxおよびThunderbirdから発見された脆弱性の情報(CVE)は次のとおり。

  • CVE-2024-9680 - アニメーションタイムラインに解放後使用(UAF: use-after-free)の脆弱性。攻撃者はコンテンツプロセスにおいて任意のコードを実行できる可能性がある(CVSSスコア:9.8)

Windowsから発見された脆弱性の情報(CVE)は次のとおり。

  • CVE-2024-49039 - タスクスケジューラーに特権昇格の脆弱性(CVSSスコア:8.8)

マルウェアを配布

これら脆弱性は、ロシアに関係するとみられる脅威グループ「RomCom(別名:Storm-0978、Tropical Scorpius、UNC2596)」により、マルウェアの配布に悪用されたことが確認されている。確認された侵害経路は次のとおり。

  • 被害者が悪意のあるWebサイトにアクセスする
  • 脆弱性を悪用することでユーザー操作を介することなく悪意のあるシェルコードを実行する
  • 悪意のあるシェルコードはライブラリーをロードし、サンドボックスを抜け出してバックドアを展開する
  • 正常なWebサイトにリダイレクトして攻撃を隠蔽する
  • 侵害経路 - 引用:ESET

    侵害経路 引用:ESET

影響と対策

ESETのテレメトリーによると2024年10月10日から11月4日までの期間中、侵害された可能性のあるユーザーは欧州および米国のユーザーとされる。アジア地域のユーザーへの影響は確認されていない。

  • 国別の被害マップ - 引用:ESET

    国別の被害マップ 引用:ESET

これら脆弱性は次のバージョンの製品、および更新プログラムにて修正されている。

  • Firefox 131.0.2
  • Firefox ESR 128.3.1
  • Firefox ESR 115.16.1
  • Thunderbird 131.0.1
  • Thunderbird 128.3.1
  • Thunderbird 115.16
  • KB5046617 - Windows 11 Version 24H2, Windows Server 2025
  • KB5046696 - Windows 11 Version 24H2, Windows Server 2025 - HotPatch
  • KB5046633 - Windows 11 Version 23H2, Version 22H2
  • KB5046613 - Windows 10 Version 22H2, Version 21H2
  • KB5046618 - Windows Server 2022 23H2 Edition
  • KB5046616 - Windows Server 2022
  • KB5046698 - Windows Server 2022 - HotPatch
  • KB5046615 - Windows Server 2019
  • KB5046612 - Windows Server 2016

FirefoxおよびThunderbirdから発見された脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。影響を受ける製品を利用しているユーザーには、上記または最新バージョンにアップデートすることが推奨されている。