Category Archives: Security Response News

Spammers Make Memorial Day Memorable

Memorial Day is celebrated on May 27 and it is a day for memorializing the men and women who have died in military service for the United States. It is a common practice for cybercriminals to take advantage of events and holidays. This year, various sp…

Operation Hangover: Q&A on Attacks

Today Norman and the Shadowserver Foundation released a joint detailed report dubbed Operation Hangover, which relates to a recently released ESET blog about a targeted cyber/espionage attack that appears to be originating from India. Symantec released a brief blog around this incident last week and this Q&A will provide additional information relevant to Symantec around this group.

Q: Do Symantec and Norton products protect against threats used by this group?

Yes. Symantec confirms protection for attacks associated with Operation Hangover through our antivirus and IPS signatures, as well as STAR malware protection technologies such as our reputation and behavior-based technologies. Symantec.cloud also detects the targeted emails used by this group.

Q: Has Symantec been aware of the activities of Operation Hangover?

Yes. As called out in our initial blog, multiple security vendors have been tracking this group. Symantec has been privy to information surrounding this group for a period of time and has been actively tracking their work while ensuring that the best possible protection was in place for the various threats used by them.

Q: Where does the name Operation Hangover come from?

Norman and Shadowserver derived the name Operation Hangover, as one of the most prevalent malwares used by this group contains a project debug path containing this name.

Q: How does a victim get infected?

The initial compromise occurs through a spear phishing email sent to the target. The email contains an attachment using a theme relevant to the target. Figure 1 shows the different stages in the Operation Hangover attack.

3200837-Infection-Diagram.png

Figure 1. Operation Hangover attack

The email contains a malicious attachment that, if opened, infects the victims system or attempts to use an exploit against the target victim’s system. If successful, the first stage malware is loaded onto the victim’s system. This malware, in the most part, is from a family of Visual Basic downloaders known as Smackdown.

Following reconnaissance of the infected system by the attacker, they can then decide whether to download the second stage of malware that consists of information stealers mostly written in C++ from a malware family known as HangOve. There are several possible modules from the HangOve family downloaded, which can perform the following taks:

  • Keylogging
  • Backconnect
  • Screen grabber
  • Self-replication
  • System gathering

Q: Does Symantec know who this group is targeting?

Yes. Symantec telemetry has identified Pakistan as being the main target of this attack. With defense documents being used as a lure in these attacks, it would suggest the targets of interest are government security agencies. Symantec has however also observed this group taking part in industrial espionage in countries outside of Pakistan.

Q: How widespread is the threat?

As seen in figure 2 and 3, Symantec telemetry is reporting Pakistan as being the main country impacted by this group. These findings correspond to other researcher’s findings in relation to this group. As previously stated, it is also evident that the operations of this group does not solely focus on one target or region.

HeatMap.png

Figure 2. Heat map of Symantec telemetry for Operation Hangover related detections

Pie.png

Figure 3. Top 10 countries showing Symantec telemetry for Operation Hangover detections

Q: What name does Symantec give to threats used by this group?

Symantec has detection in place for the threats used by this group under the following detection names:

For Symantec customers to identify this group, we are remapping the main components of this campaign to the following:

  • Trojan.Smackdown
  • Trojan.Smackup
  • Trojan.Hangove

The following Intrusion Prevention Signature (IPS) is also in place.

  • System Infected: Trojan.Hangove Activity

Q: Do Symantec/Norton products protect against known exploits used in this campaign?

Yes. The known vulnerabilities being used by this group are listed below along with the Symantec protections. At this time there is no evidence to suggest that the group are using, or have at any time used, a zero-day vulnerability in their attacks.

Table1.png

Q: How will this report affect the group orchestrating Operation Hangover?

Similar to other cases, despite the exposure of the Operation Hangover group, Symantec believes they will continue their activities. Symantec will continue to monitor their activities and provide protection against these attacks. As always, we advise customers to use the latest Symantec technologies and incorporate layered defenses to best protect against attacks by groups of this kind.

Symantec Protection for Trojan.FakeSafe

Today, Trend Micro published a report about a targeted attack campaign they’re calling SafeNet (the campaign’s name is unrelated to the security company of the same name). The group behind this campaign is utilizing spear phishing emails wi…

??????????????????? Google Play ?????????????

年明け以降、日本語のワンクリック詐欺が Google Play で猛威を振るっています。詐欺師たちは、1 月末から 700 個にも及ぶアプリを公開しています。新しいアプリは日々公開されており、Google Play にアプリを公開するために詐欺師たちは 25 ドルの登録料を払い、これまでにおよそ 4,000 ドルを費やしています。

fig1.png

図 1. 開発者と開発されたアプリの合計

詐欺アプリへの対応はイタチごっこの様相を呈しています。アプリが Google Play から削除されると、詐欺師たちは別のアカウントでさらにアプリを公開します。それらもすぐに削除されますが、今度はまた別のアカウントでさらに多くのアプリを公開するのです。アプリの大半は公開された当日に削除されますが、特に週末に公開されたアプリの中には、ダウンロード数が 3 桁になるまで生き延びてしまうものもあります。こうした詐欺アプリは、アダルト動画に興味を持つユーザーを欺いて、有料サービスに登録させるためのサイトに誘い込みます。1 人でも詐欺に引っかかれば、99,800 円が詐欺師の懐に入るので、さらに多くの開発者アカウントを作って、詐欺アプリの数を増やせば、実入りも多くなるというわけです。

fig2.png

図 2. マルウェア作成者の開発者ページ

最近、詐欺師たちは新しい手口を思いついたようです。典型的なワンクリック詐欺アプリでは、アプリ内で Web ページを表示するために Webview クラスを使用します。通常、クリック詐欺へと誘い込むアダルト関連のサイトが表示されますが、新しいアプリでは、同じようなアダルト関連サイトでも、個人情報(Google アカウント、電話番号、国際移動体装置識別番号(IMEI)、Android ID、機種の詳細情報など)を盗み出すアプリをホストするサイトが表示されます。新しい詐欺アプリは、手動でダウンロードしてインストールする必要があるアプリのダウンローダとしての役割を果たします。

fig3.png

図 3. 悪質なアプリをホストするサイト

fig4.png

図 4. 偽の Google Play サイト。ここから悪質なアプリがダウンロードされる

fig5.png

図 5. デバイスからアップロードされるデータ

この新しい手口で気になるのは、詐欺師たちがアプリページの説明にランダムなキーワードを列挙していることです。従来はアダルト関連のキーワードだけが記載されていましたが、ここではより多くの人を標的にしようとしています。詐欺師たちの狙いは、アプリを探しているユーザーが詐欺アプリを偶然見つけて、アダルト風のアイコンに目を引かれてしまうことです。アプリのタイトルも、たいていはアダルト風のものですが、中にはランダムな名前のアプリもあります。

fig6.png

図 6. 悪質なアプリのページ

fig7.png

図 7. アプリの説明に列挙されているキーワード

個人情報がどのように悪用されるのかについてはまだ確認できていませんが、被害者のもとに詐欺師から何らかの形で連絡が来るものと思われます。シマンテックは、このブログで説明しているアプリを Android.Oneclickfraud として検出します。ノートン モバイルセキュリティSymantec Mobile Security などのセキュリティアプリをデバイスにインストールすることをお勧めします。スマートフォンとタブレットの安全性に関する一般的なヒントについては、モバイルセキュリティの Web サイト(英語)を参照してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

????????????????????????

      No Comments on ????????????????????????

寄稿: Avdhoot Patil

有名人のスキャンダルは注目度が高く、フィッシング詐欺師もサイトに利用しようとして常に狙っています。最近では、英国の歌手で女優のリタ・オラさんを利用したフィッシングサイトが確認されています。このフィッシングサイトは、無料の Web ホスティングサイトをホストとして利用していました。

rita_ora_phishing.png

 

このフィッシングサイトでは、ビデオを「ソーシャルプラグイン」と称して、Facebook のログイン情報を入力するよう求めてきます。フィッシングページには、背景にリタ・オラさんが映っている偽の YouTube 画像が貼り付けられていますが、問題のビデオには、彼女が登場するアダルトビデオと思わせるタイトルが付いています。リタさんが最近注目を浴びる出来事があったことから、フィッシング詐欺師がさっそくそれに目をつけたようです。フィッシングサイトは、ログイン情報を入力すれば背景に映っているビデオを見られると思わせる作りになっています。実際には、ログイン情報を入力しても、彼女のアダルト向け画像が載っているあるサイトにリダイレクトされるだけです。もちろん、ビデオの画像が載っているサイトにユーザーをリダイレクトするのは、ログインが有効であると思わせ、疑惑をそらすためです。この手口に乗ってログイン情報を入力したユーザーは、個人情報を盗まれ、なりすまし犯罪に使われてしまいます。

インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

  • 電子メールメッセージの中の疑わしいリンクはクリックしない。
  • 電子メールに返信するときに個人情報を記述しない。
  • ポップアップページやポップアップ画面に個人情報を入力しない。
  • 個人情報や口座情報を入力する際には、鍵マーク、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL で暗号化されていることを確認する。
  • ノートン インターネットセキュリティやノートン 360 など、フィッシング詐欺およびソーシャルネットワーク詐欺から保護する統合セキュリティソフトウェアを使う。
  • 電子メールで送られてきたリンクや、ソーシャルネットワークに掲載されているリンクがどんなに魅力的でも不用意にクリックしない。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Symantec Protection for Targeted Attacks in South Asia

ESET recently blogged about a targeted cyber/espionage attack that appears to be originating from India. Multiple security vendors have been tracking this campaign. The attack appears to be no more than four years old and very broad in scope. Based on …

Spam Campaigns Take to Tumblr

      No Comments on Spam Campaigns Take to Tumblr

As the urban legend goes, the bank robber Willie Sutton was asked why he robbed banks. “Because that’s where the money is,” he is attributed as saying. While Sutton has long since distanced himself from the statement, the concept resonates with many people, to the extent that it’s been used to describe principles in accounting and even medicine.  

This principle also holds true in the world of Internet security. In the latest version of the Internet Security Threat Report we discussed the major trends in the spam world, where the percent of spam email continues to decline while more and more social networks are being targeted. Given the growth of social networking in recent years as a means to communicate, this comes as no surprise—it’s where the users are.

We’ve previously talked about how scammers are not only going after users on the most well-known social networks, as they have for years, but have begun targeting users on other networks, such as Instagram and Pinterest. Another popular social network has found itself in the crosshairs of spammers recently. The growth in popularity of Tumblr, particularly with younger Internet users, has also drawn the attention of spammers.

We’ve come across a spam campaign that is utilizing a feature on Tumblr similar to the type of commenting you might see on blogs or other social networks. Tumblr calls this feature “Ask,” where your followers can ask you questions, which can appear on your Tumblr blog. The feature is disabled by default, but you can enable it in your account settings and even allow anonymous comments. Spammers are attempting to take advantage of this feature to peddle their wares.

“WOW, I just lost a bunch of weight using the OFFICIAL TUMBLR DIET!! Are u using it as well? Check it out at [REMOVED][d0t]com”

Fig1.jpg

Figure 1. Spam message utilizing Tumblr’s Ask feature

Clearly, there’s no such thing as an official Tumblr diet. Instead, the URL provided in the spam message leads to a website that mimics a popular health magazine, espousing the benefits of a new diet pill.

Fig2.jpg

Figure 2. Fake health magazine site promoting diet pill

The page is full of information about a “miracle pill,” along with testimonials and offers linking to sites where the user can get some. If the user clicks through, they are brought to an order page. However, the site appears to have a limited supply. Stock is set to run out, coincidentally, the same day the user is visiting the page.

Fig3.jpg

Figure 3. Diet pill order page

The user is asked for a number of personal details, such as name, address, phone number, and email. The site will eventually ask for your credit card details as well.

Fig4.jpg

Figure 4. Diet pill payment page

We don’t know for sure if the site will actually send you genuine diet pills that contain the supposed miracle ingredient, fake pills claiming to have it, or if the site will just make off with your credit card details. Regardless, we do not recommend attempting to purchase goods through offers like this.

This spamming technique is not limited to diet pills either. Other scams, such as the one below, attempt to play at a user’s desire to make money. In this case they don’t even bother to ask a question—skirting the primary purpose of Tumblr’s Ask feature altogether.

“I made $300 yesterday by Internet marketing and I’m looking at at least $450 today. So yeah. You need to do this. I found out about it from this news article on CBS. I’m just excited to share this with you because it actually freakin works! Tumblr won’t let me post a link but if you want to read up and start making some money then head over to [REMOVED] [d0t] cоm – Spread this to fellow tumblree’s and tumblrette’s and lets get out of this recession together!”

The link in this case leads to a fake news page espousing a great way to make money from home, then to a page that asks for the same personal details as the scam above. In this case, besides gather personal details, it’s possible that the scammers here could be looking for cybermules—another precarious scam that is best avoided.

Fig5.jpg

Figure 5. Page promoting “make money from home” scheme

What’s disconcerting about this scam is that Ask questions do not appear on Tumblr blogs by default, as traditional comments can. Instead, a user has to make the effort to answer the Ask, at which point both the question and the answer will appear on their Tumblr blog. Granted many users are answering these Asks sarcastically, while others do so with annoyance, seeing it as the spam it is. While we don’t suggest doing this, what’s perhaps most worrying is that some users actually go as far as to thank the Anonymous poster for the information, seemingly falling for the ruse. Regardless of how the user responds, the messages remain online, and anyone perusing these Tumblr blogs could feasibly visit the sites mentioned on their own accord.

It’s difficult to determine the number of Asks these spammers are sending out, but we have encountered hundreds of instances when looking into the issue. Since Anonymous Asks do not require a Tumblr account to submit, and determining if a Tumblr blog has the feature enabled is easily scriptable, spammers could easily send large volumes.

To its credit, Tumblr has implemented an Ignore feature, where you can block the account, IP, and/or computer sending them. Overall, this spam should be treated in just the same way as any other Ask or comment-related spam: do not answer such submissions, do not visit the URLs provided, and do not give any personal details to less-than reputable websites.

Japanese One-Click Fraud on Google Play Leads to Data Stealing App

Since the beginning of the year, a Japanese one-click fraud campaign has continued to wreak havoc on Google Play. The scammers have published approximately 700 apps in total since the end of January. The apps are published on a daily basis and the scam…

?????????????????????

      No Comments on ?????????????????????

ここ数週間で、「ペニーストック」関連のスパムメールが急増していることが確認されています。2011 年に「世界的な信用危機のニュースで株価操作詐欺が急増」というタイトルのブログを公開しましたが、そこでもこの種のスパムに触れています。

ペニーストック(セントストックとも呼ばれます)とは安値で取引される小型株のことで、1 株あたり数セントで取引されることも珍しくありません。ペニーストックは、スパマーによって頻繁に利用されています。スパムメールで安値の株を宣伝し、「この会社はもうすぐ大成功するから株価が急騰する」と謳うのです。そこには、会社が実際よりも価値が高く、何らかの目玉商品が完成したか、あるいはもうすぐ大躍進を遂げるはずであり、株価の急騰が予想されると書かれています。この手の詐欺の目的は、株の人気をつり上げ、その結果株価が上がったところで、持ち株を購入時よりもはるかに高い値段で売り抜けることです。このような株価操作詐欺の手法を「パンプアンドダンプ」と呼びます。

株に関連したスパムで利用されている手法には、単語の間に空白を挿入する、不要な改行で不明瞭化する、電子メールの件名や本文にランダムな文字を挿入するなど、さまざまなものがあります。

Figure1.png

図 1. ペニーストック関連のスパムメール

シマンテックでは、次のグラフに示すように、株に関連したスパムの量が増えていることを確認しています。

Figure2.jpg

図 2. 株に関連したスパムメールの量の傾向

こういった攻撃で頻繁に見られるメールの件名として、次のようなものがあります。

  • 件名: Stock Picking Contest, Sign Up Today(株争奪、今すぐ登録を)
  • 件名: “Before The Close” From Standout Stocks!(「締切間近」の目玉株!)
  • 件名:  A Royal Treat To Start The Week(週明けのお楽しみ)
  • 件名: Expect More from this Bull(この強気筋は期待大)
  • 件名: Explosive Pick Coming(争奪戦来たる)
  • 件名: It Is Our Hot New Trade Alert!(最新取引のお知らせ!)
  • 件名: Its trading levels could be Set to Explode!(取引レベル急騰の可能性あり!)
  • 件名: Let`s Do It Again! Tonight We Have Another Breaking Bull!(再び! 今夜新たな強気筋あり!)
  • 件名: This Company Shows Gains(この会社は儲かる)
  • 件名: This Company shows Strength(この会社は強い)
  • 件名: What a Fantastic Week! Our Members had the Opportunity to Make Some Serious Gains!(最高の週! 会員様に大儲けのチャンス到来!)

迷惑メールや心当たりのない電子メールには注意し、スパム対策のシグネチャは定期的に更新するようにしてください。シマンテックでは、このような「パンプアンドダンプ」スパム攻撃を厳重に監視しており、この傾向の監視を続けて読者の皆さまに最新の情報をお届けする予定です。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

?????????????Microsoft Patch Tuesday?- 2013 ? 5 ?

今月のマイクロソフトパッチリリースブログをお届けします。今月は、33 件の脆弱性を対象として 10 個のセキュリティ情報がリリースされています。このうち 11 件が「緊急」レベルです。

いつものことですが、ベストプラクティスとして以下のセキュリティ対策を講じることを推奨します。

  • ベンダーのパッチが公開されたら、できるだけ速やかにインストールする。
  • ソフトウェアはすべて、必要な機能を使える最小限の権限で実行する。
  • 未知の、または疑わしいソースからのファイルは扱わない。
  • 整合性が未知の、または疑わしいサイトには絶対にアクセスしない。
  • 特定のアクセスが必要な場合を除いて、ネットワークの周辺部では重要なシステムへの外部からのアクセスを遮断する。

マイクロソフトの 5 月のリリースに関する概要は、次のページで公開されています。
http://technet.microsoft.com/ja-jp/security/bulletin/ms13-May

今月のパッチで対処されている問題の一部について、詳しい情報を以下に示します。

  1. MS13-037 Internet Explorer 用の累積的なセキュリティ更新プログラム(2829530)

    Internet Explorer の解放後使用の脆弱性(CVE-2013-1306)MS の深刻度: 緊急

    Internet Explorer が、削除されたメモリ内のオブジェクトにアクセスする方法に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    JSON 配列の情報漏えいの脆弱性(CVE-2013-1297)MS の深刻度: 重要

    Internet Explorer に情報漏えいの脆弱性が存在するため、攻撃者は JSON データファイルにアクセスしてその内容を読み取れる場合があります。

    Internet Explorer の解放後使用の脆弱性(CVE-2013-1309)MS の深刻度: 緊急

    Internet Explorer が、削除されたメモリ内のオブジェクトにアクセスする方法に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer の解放後使用の脆弱性(CVE-2013-1307)MS の深刻度: 緊急

    Internet Explorer が、削除されたメモリ内のオブジェクトにアクセスする方法に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer の解放後使用の脆弱性(CVE-2013-1308)MS の深刻度: 緊急

    Internet Explorer が、削除されたメモリ内のオブジェクトにアクセスする方法に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer の解放後使用の脆弱性(CVE-2013-1310)MS の深刻度: 緊急

    Internet Explorer が、削除されたメモリ内のオブジェクトにアクセスする方法に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer の解放後使用の脆弱性(CVE-2013-0811)MS の深刻度: 緊急

    Internet Explorer が、削除されたメモリ内のオブジェクトにアクセスする方法に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer の解放後使用の脆弱性(CVE-2013-1311)MS の深刻度: 緊急

    Internet Explorer が、削除されたメモリ内のオブジェクトにアクセスする方法に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer の解放後使用の脆弱性(CVE-2013-2551)MS の深刻度: 緊急

    Internet Explorer が、削除されたメモリ内のオブジェクトにアクセスする方法に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer の解放後使用の脆弱性(CVE-2013-1312)MS の深刻度: 緊急

    Internet Explorer が、削除されたメモリ内のオブジェクトにアクセスする方法に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer の解放後使用の脆弱性(CVE-2013-1313)MS の深刻度: 緊急

    Internet Explorer が、削除されたメモリ内のオブジェクトにアクセスする方法に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

  2. MS13-038 Internet Explorer 用のセキュリティ更新プログラム(2847204)

    Internet Explorer の解放後使用の脆弱性(CVE-2013-1347)MS の深刻度: 緊急

    削除されたオブジェクト、または正しく割り当てられていないオブジェクトに Internet Explorer がアクセスする方法に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が Internet Explorer における現在のユーザーのコンテキストで任意のコードを実行できる場合があります。攻撃者は Internet Explorer を介して、この脆弱性の悪用を目的として特別に細工した Web サイトをホストし、ユーザーを誘導してその Web サイトを表示させる可能性があります。

  3. MS12-039 HTTP.sys の脆弱性により、サービス拒否が起こる(2829254)

    HTTP.sys サービス拒否の脆弱性(CVE-2013-0005)MS の深刻度: 重要

    HTTP プロトコルスタック(HTTP.sys)が悪質な HTTP ヘッダーを正しく処理しないことが原因で、Windows Server 2012 と Windows 8 に、サービス拒否の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受ける Windows サーバーまたはクライアントに特別に細工した HTTP ヘッダーを送信し、HTTP プロトコルスタックに無限ループを発生させる可能性があります。

  4. MS13-040 .NET Framework の脆弱性により、なりすましが行われる(2836440)

    XML デジタル署名のなりすましの脆弱性(CVE-2013-1336)MS の深刻度: 重要

    Microsoft .NET Framework が特別に細工された XML ファイルの署名を正しく検証できない場合に、なりすましの脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、ファイルに関連付けられている署名を無効にせずに XML ファイルの内容を変更できる可能性があります。

    認証回避の脆弱性(CVE-2013-1337)MS の深刻度: 重要

    カスタム WCF エンドポイント認証を設定するとき、Microsoft .NET Framework が認証のためのポリシー要件を正しく作成しないために、セキュリティ機能回避の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、認証された場合と同じようにエンドポイント機能にアクセスし、情報を盗み出したり、認証されたユーザーと同様の操作を行ったりできる可能性があります。

  5. MS13-041 Lync の脆弱性により、リモートでコードが実行される(2834695)

    Lync RCE の脆弱性(CVE-2013-1302)MS の深刻度: 重要

    Lync コントロールがメモリ内の削除済みのオブジェクトにアクセスしようとする場合に、リモートコード実行の脆弱性が存在します。攻撃者は、Lync または Communicator セッションで特別に細工されたコンテンツを起動するように標的のユーザーを誘導することにより、この脆弱性を悪用する可能性があります。攻撃者がこの脆弱性の悪用に成功すると、現在のユーザーと同じユーザー権限を取得する可能性があります。

  6. MS13-042 Microsoft Publisher の脆弱性により、リモートでコードが実行される(2830397)

    Publisher の負の値割り当ての脆弱性(CVE-2013-1316)MS の深刻度: 重要

    Microsoft Publisher が Publisher ファイルを解析する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

    Publisher のインターフェースポインタの破損の脆弱性(CVE-2013-1318)MS の深刻度: 重要

    Microsoft Publisher が Publisher ファイルを解析する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

    Publisher の整数オーバーフローの脆弱性(CVE-2013-1317)MS の深刻度: 重要

    Microsoft Publisher が Publisher ファイルを解析する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

    Publisher のバッファオーバーフローの脆弱性(CVE-2013-1320)MS の深刻度: 重要

    Microsoft Publisher が Publisher ファイルを解析する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

    Publisher の戻り値処理の脆弱性(CVE-2013-1319)MS の深刻度: 重要

    Microsoft Publisher が Publisher ファイルを解析する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

    Publisher の戻り値検証の脆弱性(CVE-2013-1321)MS の深刻度: 重要

    Microsoft Publisher が Publisher ファイルを解析する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

    Publisher の無効な範囲チェックの脆弱性(CVE-2013-1322)MS の深刻度: 重要

    Microsoft Publisher が Publisher ファイルを解析する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

    Publisher の誤った NULL 値処理の脆弱性(CVE-2013-1323)MS の深刻度: 重要

    Microsoft Publisher が Publisher ファイルを解析する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

    Publisher の符号付き整数の脆弱性(CVE-2013-1327)MS の深刻度: 重要

    Microsoft Publisher が Publisher ファイルを解析する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

    Publisher のポインタ処理の脆弱性(CVE-2013-1328)MS の深刻度: 重要

    Microsoft Publisher が Publisher ファイルを解析する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

    Publisher のバッファアンダーフローの脆弱性(CVE-2013-1329)MS の深刻度: 重要

    Microsoft Publisher が Publisher ファイルを解析する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

  7. MS13-043 Microsoft Word の脆弱性により、リモートでコードが実行される(2830399)

    Word の図形破損の脆弱性(CVE-2013-1335)MS の深刻度: 重要

    Microsoft Word が Word ファイルのコンテンツを解析する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

  8. MS13-044 Microsoft Visio の脆弱性により、情報漏えいが起こる(2834692)

    XML 外部エンティティ解決の脆弱性(CVE-2013-1301)MS の深刻度: 重要

    外部エンティティを含む特別に細工された XML ファイルを Microsoft Visio が解析する方法に、情報漏えいの脆弱性が存在します。

  9. MS13-045 Windows Essentials の脆弱性により、情報漏えいが起こる(2813707)

    Windows Essentials の不適切な URI 処理の脆弱性(CVE-2013-0096)MS の深刻度: 重要

    特別に細工された URL を Windows Writer が適切に処理できない場合に、情報漏えいの脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、Windows Writer のプロキシ設定が無効にされ、標的システム上でユーザーがアクセスできるファイルが上書きされる可能性があります。

  10. MS13-046 カーネルモードドライバの脆弱性により、特権が昇格される(2840221)

    DirectX グラフィックカーネルサブシステムにダブルフェッチの脆弱性(CVE-2013-1332)MS の深刻度: 重要

    Microsoft DirectX グラフィックカーネルサブシステム(dxgkrnl.sys)がメモリ内のオブジェクトを適切に処理しない場合に、特権の昇格の脆弱性が存在します。

    Win32k のバッファオーバーフローの脆弱性(CVE-2013-1333)MS の深刻度: 重要

    Windows カーネルモードドライバがメモリ内のオブジェクトを正しく処理しない場合に、特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、システムが不安定になる場合があります。

    Win32k のウィンドウハンドルの脆弱性(CVE-2013-1334)MS の深刻度: 重要

    Windows カーネルモードドライバがメモリ内のオブジェクトを正しく処理しない場合に、特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、昇格した特権で任意のコードを実行できる場合があります。

今月対処されている脆弱性についての詳しい情報は、シマンテックが無償で公開している SecurityFocus ポータルでご覧いただくことができ、製品をご利用のお客様は DeepSight Threat Management System を通じても情報を入手できます。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。