最近 Windows 11 に組み込まれた Rust は、Windows サーバーと Linux サーバーの両方をハッキングするために使用されていました

Neowin の読者とコミュニティは、Microsoft がWindows 11 カーネルにRust を追加することを初めて明らかにしたとき、一般に非常に興奮しました。それは 4 月の BlueHat IL 2023 カンファレンスでのことであり、約 1 か月後の 5 月 11 日 (住んでいる地域によっては 10 日) に、同社は Rust がWindows 11 Insider ビルドのカーネル内で稼働するようになったと発表しました。

MicrosoftのエンタープライズおよびOSセキュリティ担当副社長のDavid Weston氏は、Rustはメモリセーフかつタイプセーフであると考えられているため、Rustを追加した理由はWindows 11メモリシステムのセキュリティを向上させるためだったと説明した。

興味深いことに、パロアルトネットワークスのセキュリティ研究者は、Rust 上に構築された P2PInfect と呼ばれる新しいピアツーピア (P2P) ワームを発見しました。このマルウェアは、Windows サーバーと Linux ベースの Redis (リモート辞書サーバー) サーバーの両方に影響を与えます。このワームは、2022 年から CVE-2022-0543 で追跡されている Lua Sandbox Escape の脆弱性を悪用しています。これにより、リモート コード実行 (RCE) が発生する可能性があります。

パロアルトネットワークスはブログ投稿で次のように説明しています。

このワームは、拡張性が高くクラウドと親和性の高いプログラミング言語である Rust で書かれており、クロスプラットフォーム感染が可能であり、クラウド環境内で頻繁に使用されている人気のオープンソース データベース アプリケーションである Redis を標的とします。

[…]

P2PInfect ワームは、Lua サンドボックス エスケープの脆弱性 CVE-2022-0543 を悪用して、脆弱な Redis インスタンスに感染します。この脆弱性は 2022 年に公開されましたが、現時点ではその範囲は完全にはわかっていません。ただし、NIST National Vulnerability Database では重大 CVSS スコア 10.0 と評価されています。さらに、P2PInfect は Linux と Windows の両方のオペレーティング システムで実行されている Redis サーバーを悪用するため、他のワームよりも拡張性が高く強力です。

P2P ワームは、P2P ネットワークの仕組みを利用して、疑うことを知らない P2P ユーザーに自分自身のコピーを配布するワームの一種です。したがって、基本的に、最初の悪意のあるペイロードをドロップした後、P2PInfect はより大きなネットワークへの P2P 通信を確立し、追加の悪意のあるバイナリをダウンロードします。したがって、チェーンは他の Redis サーバーに感染し続けます。

P2PInfect マルウェア キャンペーンに関する技術的な詳細については、パロ アルトのWeb サイトでご覧いただけます。