CVE-2022-24500とCVE-2022-26809

これらの番号は脆弱性に関する情報です。
日々脆弱性が確認される量は増え続けています。
多くのセキュリティ研究者が日夜研究を継続し、問題の発見と問題の解決に挑戦しています。
活動の成果も多く案内されます。
その成果の一つの形式が概念実証コードといわれるものです。

概念実証コードはその名の示すように、案内された特定の脆弱性が実際に脅威として成り立つかどうかを検証するために作成されるコードです。
もともとの意味合いとしては脅威が成り立つかどうかを検証するためのものですので、危険な結果が出る必要はありません。
例えば、動作するはずのない方式で動作させることが確認できる段階まで処理を実施し、最後は「リモートコード実行が成功しました」などと表示するだけでよいわけです。

毎月案内される脆弱性の解消の情報の一つにマイクロソフトのパッチがあります。
2022年4月も複数の脆弱性の対策が提供されました。
そのなかにCVE-2022-24500とCVE-2022-26809もありました。
いずれもタイプとしてはリモートコード実行が可能となってしまう脆弱性のものでした。
どちらも重大度が高い脆弱性でしたので注目度の高いものとなっています。

それぞれ、概念実証コードとしてGitHubで公開されました。
その公開された頃、いろいろなフォーラムでは新しく案内された脆弱性についての議論が展開されていました。
その脆弱性をいかにして使用することで問題として発現するのかを考えるような議論の方向になります。
そんなとき誰かがGitHubにて公開されている概念実証コードを見つけるわけです。
脆弱性を悪用しようとする犯罪者予備軍が見つけて試そうとすることもあるでしょうし、パッチ適用の前後で安全性が意図通りに変化したことを確認しようとする研究者も試そうとするかもしれません。

この概念実証コードは、なんの脆弱性の検査にも使用することはできないものでした。
しかし概念実証コードを使いたい人が期待する表示を行う機能は実装されていました。
こんな感じです。

• GitHubで偽の概念実証コードを公開
  この概念実証コードはWindows環境で動作するバイナリとして配布されました。

   

• バイナリは概念実証コードではない
  なんら概念を実証できる機構は実装されていません。

   

• 概念実証のような見た目
  概念実証を行うことができる機構は搭載していませんが、代わりにいかにも対象の脆弱性の動作が逐次進んでいるように見える画面表示を行う機能が搭載されています。
  それっぽさの追求のため、適宜sleepで表示される瞬間を調整するような実装も行われていました。
  文字列を表示する、500ミリ秒停止する、次の文字列を表示する、800ミリ秒停止する、というような調子です。

   

• マルウェアを展開する
  嘘の画面表示を実施するだけでなく、マルウェアを展開します。
  Cobalt-Strike Beaconをダウンロードします。
  これにより、追加のペイロードのダウンロードや横方向の移動も可能となります。

これらの偽の概念実証コードの公開は現在は停止されています。
普通に想像すると追加の被害者が出ることはないでしょう。
しかし概念実証コードとの付き合い方についてはよく考える必要がありそうです。
あなたの今その関わろうとしているものは、実は偽の何かかもしれません。

参考記事（外部リンク）：Malware Campaign Targets InfoSec Community: Threat Actor
Uses Fake Proof Of Concept To Deliver Cobalt-Strike Beacon
blog.cyble.com/2022/05/20/malware-campaign-targets-infosec-community-threat-actor-uses-fake-proof-of-concept-to-deliver-cobalt-strike-beacon/