Category Archives: Security Response News

Infostealer.Nemim: How a Pervasive Infostealer Continues to Evolve

Contributor: Satnam Narang

Previously we blogged about Backdoor.Egobot and outlined how it targets specific industries while maintaining a low profile. The cybercriminals behind Egobot may also have developed Infostealer.Nemim for a more widespread and prevalent campaign. Despite a difference in scope, both threats steal information from compromised computers and there are indications these two threats originate from the same source.
 

Nemim components

Symantec detected Nemim in the wild as early as the fall of 2006. One of the earliest samples contained a timer mechanism to determine when to remove itself from the compromised computer. Removal was conditional and tied to a fixed date or based on the number of times the sample was executed. The timer mechanism feature was also found in samples of Egobot.

The Nemim samples we analyzed were digitally signed with stolen certificates and, over time, the malware was updated with three components:

  1. Infector component
  2. Downloader component
  3. Information stealer component
     

Infector component

The infector component is designed to infect executables in specific folders. In particular, the infector targets the %UserProfile% folder and all of its subfolders.

Infection is not sophisticated. Nemim copies itself into a new section named .rdat added at the bottom of the infected file. The original entry point of the infected file is altered in order to point to the Nemim code in the .rdat section. The infection code is responsible for decrypting, dropping, and running an embedded executable file in the following path:

  • %AllUsersProfile%\Application Data\Microsoft\Display\igfxext.exe

This executed file is the downloader component.
 

Downloader component

The downloader component acts as a wrapper for an encrypted executable. After decryption, the encrypted executable is loaded dynamically. This encrypted executable file contains the actual downloader functionality. However, before downloading, the malware harvests the following system information from the compromised computer:

  • Computer name
  • User name
  • CPU name
  • Operating system version
  • Number of USB devices
  • Local IP address
  • MAC address
     

image1_13.png

Figure 1. System information harvested by Infostealer.Nemim from compromised computers
 

This harvested information is encrypted, converted to Base64, and sent to the command-and-control (C&C) server, just like Egobot. The harvested information is viewable on the C&C server in an unencrypted format. For instance, the P2Pdetou variable shows computer name and user name: [COMPUTER NAME]@[USER NAME]. The server then responds with basic commands, including a payload that is dropped and executed. The downloader then expects the server to respond with a “minmei” string accompanied by the following commands:

  • up
  • re
  • no

The up command, for instance, indicates that the downloaded data contains an executable payload that the downloader will decrypt and run.
 

Information stealer component

The Information stealer component can steal stored account credentials from the following applications:

  • Internet Explorer
  • Mozilla Firefox
  • Google Chrome
  • Microsoft Outlook
  • Outlook Express
  • Windows Mail
  • Windows Live Mail
  • Gmail Notifier
  • Google Desktop
  • Google Talk
  • MSN Messenger

The information stealer sends stolen data back to the C&C server and, like the downloader, expects a “minmei” string in response.
 

Geographical distribution and protection

Japan and the United States are the main targets of Nemim, followed by India and the United Kingdom.
 

image2_3.jpeg

Figure 2. Infostealer.Nemim geographical distribution
 

Symantec detects all the components of these threats to protect customers from attacks:

Nemim and Egobot connection

Analysis of the Nemim binaries revealed a connection to Backdoor.Egobot due to several similarities found in both threats.
 

 

Nemim

Egobot

Information gathered in specific formats using specific tags

Sys@User : %s@%s (%s)
C P U : %s
System OS: %s (%s)
Net card : %s(%s)

Sys@User : %s@%s (%s)
C P U : %s
System OS: %s (%s)
Net card : %s(%s)

Information encryption

Encrypted and Base64 encoded

Encrypted and Base64 encoded

C&C communication format

[URL/IP]/[PATH]/[FILE].php?a1=
%s&a2=%s&a3=%s

[URL/IP]/[PATH]/[FILE].php?arg1=
%s&arg2=%s&arg3=%s

Code injection technique

Microsoft Detours functionality
(early versions)

Microsoft Detours functionality
(all versions)

Table 1. Similarities between Nemim and Egobot
 

Based on these similarities and the overlapping timelines of both the campaigns it is apparent that Nemim and Egobot come from the same source.
 

Potential for a new campaign

Nemim continues to operate today and has effectively evolved over time. For instance, the string encryption has become non-trivial, stolen digital certificates have been upgraded with newer ones, and there are now checks in place to detect common virtual machines. Indeed, for the last seven years the attackers have shown an unwavering commitment to innovation and have developed malware that is adaptable to fit the needs of two different attack campaigns. We expect this innovate trend will continue with a high potential for new campaigns.

Backdoor.Egobot: How to Effectively Execute a Targeted Campaign

Contributor: Satnam Narang

Backdoor.Egobot is a Trojan used in campaigns targeting Korean interests. The execution of the campaigns is straightforward and effective. Symantec data indicates the campaigns have been in operation since 2009. Egobot has continuously evolved by adding newer functionalities. The attackers use the four golden rules of a targeted campaign:

  1. Identify targets
  2. Exploit targets (in order to drop the payload)
  3. Perform malicious activity (in this case, stealing information)
  4. Remain undetected

We have also uncovered a parallel campaign that has been in operation as early as 2006, which we will cover in another blog.
 

Egobot targets

Egobot is targeted at executives working for Korean companies and also at executives doing business with Korea. Industries targeted with Egobot include:

  • Finance and investment
  • Infrastructure and development
  • Government agencies
  • Defense contractors

Targets are located around the globe and include Korea, Australia, Russia, Brazil, and the United States.
 

image1_12.png

Figure 1. Countries targeted with Backdoor.Egobot
 

The aim of the Egobot campaign is to steal confidential information from compromised computers.
 

Exploitation

The attackers gather information about their targets using social engineering techniques prior to luring them into the trap. The targets are sent a spear phishing email, often pretending to be sent from a person they already know. The spear phishing email contains a relevant or enticing message to the target, prompting them to open the malicious attachment. The malicious attachment may be a shortcut .lnk file that points to a file hosted on GeoCities Japan.
 

image2_7.png

Figure 2. Egobot spear phishing email with malicious shortcut attachment
 

Various malicious attachments have been used in this campaign:

When attachments are opened it triggers the following three-stage download process:

Stage 1: Download obfuscated HTML file

Each of the attachments downloads malware from sites hosted on GeoCities Japan. The files vary, but are usually named update[YYYYMM].xml which is  an obfuscated HTML file that drops an executable on the system.

Stage 2: Download RAR archive

The dropped executable from Stage 1 then retrieves another file from GeoCities Japan. This file is hotfix[YYYYMM].xml, which is an executable RAR file. Both downloaded files in the first two stages are disguised as XML documents in an attempt to pass as a clean file.

Stage 3: Download back door component

The executable RAR file is responsible for preparing the system. It drops a set of files which are responsible for moving files around, injecting a component into processes, and stealing the following system information:

  • Windows version
  • Installed service pack version
  • Install language
  • User name
     

image3_7.png

Figure 3. Stolen system information found in Egobot strings
 

Stolen information is sent to Egobot’s command-and-control (C&C) server in the following format:

  • /micro/advice.php?arg1=1irst&arg2=[BASE64 ENCODED STRING]
  • /micro/advice.php?arg1=1irst&arg2=[HASH]&arg3=[BASE64 ENCODED STRING]
     

image4_3.png

Figure 4. Communication back to C&C server, arg1 value highlighted
 

Data that is sent back to the C&C is encrypted using a rotating key embedded within the malware. We observed the following two specific keys:

  • youareveryverygoodthing
  • allmyshitisveryverymuch

Finally, the executable RAR file downloads one last component from GeoCities Japan. This downloaded file is named using the value of arg1 in the GET command sent to the C&C. In this case, Egobot attempts to download a file called 1irst.tmp, which is the main payload.
 

Stealing information

The main payload has specific functions that are potentially disastrous for targeted business executives. These functions include:

  • Recording video
  • Recording audio
  • Taking screenshots
  • Uploading files to a remote server
  • Obtaining a recent document list
  • Searching for a string or pattern in a file
  • Deleting and setting restore points

The stolen information is uploaded to remote servers hosted in Malaysia, Hong Kong, and Canada. The attackers have also updated their code to include 64-bit versions to work seamlessly across 64-bit platforms.
 

Staying under the radar

Egobot is downloaded onto a system as a bundled RAR archive with various components packed using commercial packers exe32pack and UPX. These following components are used to mask the presence of the malware:

  1. Detoured component: Backdoor.Egobot is compiled using an older version of Microsoft’s Detours software package functionality, which includes the detoured.dll file. This file is used to attach malicious .dll files to legitimate Win32 binaries. Egobot can use this file to run itself in the memory of a legitimate process, masquerading as a clean process.
  2. Coordinator component: Prepares files by moving them into the appropriate folders and injecting them into legitimate processes. Backdoor.Egobot is typically injected into the explorer.exe, subst.exe, and alg.exe processes.
  3. Timer functionality: Some versions of the back door component include a timer functionality so the Trojan can delete itself after a certain date. This feature removes any traces of Backdoor.Egobot.
     

image5_3.png

Figure 5. Backdoor.Egobot components
 

Symantec customers are protected by Symantec Email Security.cloud. Malicious samples from this campaign are detected as Trojan Horse, Trojan.Dropper, Trojan.Mdropper, and Backdoor.Egobot.

And, unfortunately, there is more to this story. Through our research into Egobot, Symantec has identified a parallel operation related to Egobot that has been active since 2006, about three years before Egobot. Further details on the Nemim campaign—including its relation to the Egobot campaign—are explained in a separate blog, Infostealer.Nemim: How a Pervasive Infostealer Continues to Evolve.

419 Scammers Take Advantage of Festival of Lights

Diwali, also known as the festival of lights, is a much loved five-day long Hindu festival. The festival is enjoyed by many people and lifts the mood and spirit of everyone taking part in the celebrations. This year, the festival of Lights is being cel…

?? Facebook ??????????????????????

      No Comments on ?? Facebook ??????????????????????
寄稿: Daniel Regalado Arias
 
フィッシング詐欺師は、フィッシングの餌に目新しさを加えるために偽のアプリケーションを導入することがよくあります。フィッシング詐欺で使われている、ある新しい偽アプリを調べてみることにしましょう。この事例でも詐欺師はログイン情報を盗み出そうとしていましたが、データ窃盗の手段として、フィッシングの餌だけではなくユーザーの個人情報を収集するマルウェアも使われていました。フィッシングサイトは Facebook のログインページに偽装しており、無料の Web ホスティングサイトをホストとして利用していました。
 
figure1_0.png
図 1: Facebook ログインページの外観と同じように見せかけているフィッシングサイト。
 

サイトでは、このアプリケーションを使えば自分のプロフィールページにアクセスしたユーザーのリストを閲覧できると謳っています。アプリを起動するには、ソフトウェアをダウンロードする方法と、ユーザーのログイン情報を入力して Facebook にログインする方法の 2 つがあると説明されていますが、アプリはもちろん偽であり、ダウンロードするソフトウェアにはマルウェアが仕掛けられています。フィッシングページのメッセージで推奨されているのは、ソフトウェアをダウンロードする方法です。謳い文句によると、誰かが Facebook のプロフィールにアクセスするたびに通知が送られてくることになっています。ダウンロードボタンをクリックすると、ファイルダウンロードのプロンプトが表示されます。このファイルには悪質なコンテンツが含まれており、シマンテックはこれを Infostealer として検出します。一方、ユーザーのログイン情報を入力した場合には、フィッシングサイトから正規の Facebook にリダイレクトします。

 

シマンテックはこのマルウェアを解析し、以下のように動作することを突き止めました。

  1. マルウェアは 2 つの実行可能ファイルで構成され、どちらも同じ処理を実行する。
  2. ファイルはレジストリの run キーに追加され、再起動のたびに実行される。
  3. マルウェアはキーロガーを仕掛け、被害者の入力をすべて追跡しようとする。
  4. 次に、www.google.com に ping を送ってインターネット接続があるかどうかを確認する。接続がある場合、マルウェアは収集したすべての情報を攻撃の電子メールアドレスに送信する。
  5. シマンテックが確認したところ、このアドレスは 3 カ月前から無効になっているため、マルウェアは現在、攻撃者に更新情報を送信できない状態である。

この手口に乗ってログイン情報を入力したユーザーは、個人情報を盗まれ、なりすまし犯罪に使われてしまいます。

 

インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

  • アカウントにログインするとき、アドレスバーの URL を確認し、間違いなく目的の Web サイトのアドレスであることを確かめる。
  • 電子メールメッセージ中の疑わしいリンクはクリックしない。
  • 電子メールに返信するときに個人情報を記述しない。
  • ポップアップページやポップアップウィンドウに個人情報を入力しない。
  • 個人情報や口座情報を入力する際には、鍵マーク(画像やアイコン)、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL 証明書で暗号化されていることを確認する。
  • ノートン インターネットセキュリティまたはノートン 360 など、フィッシング詐欺やソーシャルネットワーク詐欺を防止する総合的なセキュリティソフトウェアを使う。
  • 電子メールで送られてきたリンクや、ソーシャルネットワークに掲載されているリンクがどんなに魅力的でも不用意にクリックしない。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

?????????????????????? Internet Explorer ???????????

Microsoft は 2013 年 10 月の月例パッチを公開し、一部の標的型攻撃で活発に悪用されている「緊急」レベルの 2 つの脆弱性に対応する MS13-080 をリリースしました。Internet Explorer に存在する 1 つ目の「緊急」の脆弱性は、「Microsoft Internet Explorer のメモリ破損の脆弱性(CVE-2013-3893)」で、これについては先日のシマンテックブログでお伝えしました。

 

Internet Explorer に存在する 2 つ目の「緊急」の脆弱性は、「Microsoft Internet Explorer のメモリ破損の脆弱性(CVE-2013-3897)」です。Microsoft はブログ記事の中で、これが CDisplayPointer における解放後使用の脆弱性であると述べ、onpropertychange というイベントハンドラによって実行される過程を説明しています。同ブログによると、JavaScript のヒープスプレーを使って、アドレス 0x14141414 付近に小さい ROP チェーンが割り当てられるということです。被害が確認されたエクスプロイトは、韓国語または日本語圏のユーザーを対象に、Windows XP 上の Internet Explorer 8 のみを標的にするよう設計されていました。シマンテック製品をお使いのお客様については、この攻撃に対して以下の保護対策がすでに実施されています。

 
ウイルス対策
 
侵入防止システム
 

シマンテックの遠隔測定によると、CVE-2013-3897 を悪用する攻撃が始まったのは 2013 年 9 月 11 日前後です。また、エクスプロイトをホストしているサイトにユーザーをリダイレクトする際、韓国の人気ブログサイトの Web ページが利用されていることから、主な対象は韓国のユーザーであることも判明しています。

 

シマンテックは、最善の保護対策を提供できるように、現在もこの攻撃の調査を続けています。いつものように、最新のソフトウェアパッチを適用してシステムを最新の状態に保つことをお勧めします。また、このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、コンシューマ向けのノートン製品や、エンタープライズ向けソリューションのそれぞれ最新版を導入してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

 

New Internet Explorer Zero-day Targeted in Attacks against Korea and Japan

In Microsoft’s Patch Tuesday for October 2013, the company released MS13-080 to address two critical vulnerabilities that have been actively exploited in limited targeted attacks. The first critical vulnerability in Internet Explorer, the Microso…

Phishers Use Malware in Fake Facebook App

Contributor: Daniel Regalado Arias
 
Phishers frequently introduce bogus applications to add new flavor into their phishing baits. Let’s have a look at a new fake app that phishers are leveraging. In this particular scam, phishers were tryin…

?????????????Microsoft Patch Tuesday?- 2013 ? 10 ?

今月のマイクロソフトパッチリリースブログをお届けします。今月は、26 件の脆弱性を対象として 8 つのセキュリティ情報がリリースされています。このうち 16 件が「緊急」レベルです。

いつものことですが、ベストプラクティスとして以下のセキュリティ対策を講じることを推奨します。

  • ベンダーのパッチが公開されたら、できるだけ速やかにインストールする。
  • ソフトウェアはすべて、必要な機能を使える最小限の権限で実行する。
  • 未知の、または疑わしいソースからのファイルは扱わない。
  • 整合性が未知の、または疑わしいサイトには絶対にアクセスしない。
  • 特定のアクセスが必要な場合を除いて、ネットワークの周辺部では重要なシステムへの外部からのアクセスを遮断する。

マイクロソフトの 10 月のリリースに関する概要は、次のページで公開されています。
http://technet.microsoft.com/ja-jp/security/bulletin/ms13-Oct

The following is a breakdown of the issues being addressed this month:

今月のパッチで対処されている問題の一部について、詳しい情報を以下に示します。

  1. MS13-087 Silverlight の脆弱性により、情報漏えいが起こる(2890788)

    Silverlight の脆弱性(CVE-2013-3896)MS の深刻度: 重要

    Silverlight がメモリ内の特定オブジェクトを処理する方法に、情報漏えいの脆弱性が存在します。

  2. MS13-080 Internet Explorer 用の累積的なセキュリティ更新プログラム(2879017)

    Internet Explorer のメモリ破損の脆弱性(CVE-2013-3871)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2013-3872)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2013-3873)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2013-3874)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2013-3875)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2013-3882)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2013-3885)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2013-3886)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2013-3893)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2013-3897)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

  3. MS13-082 .NET Framework の脆弱性により、リモートでコードが実行される(2878890)

    OpenType フォントの解析の脆弱性(CVE-2013-3128)MS の深刻度: 緊急

    Windows が特別に細工された OpenType フォント(OTF)を解析する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、カーネルモードで任意のコードを実行できる場合があります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全な管理者権限を持つ新しいアカウントの作成ができる場合があります。

    エンティティ拡張の脆弱性(CVE-2013-3860)MS の深刻度: 緊急

    .NET Framework にサービス拒否の脆弱性が存在するため、攻撃者の攻撃が可能になり、サーバーまたはアプリケーションがクラッシュするか、応答しなくなる可能性があります。

    JSON 解析の脆弱性(CVE-2013-3861)MS の深刻度: 緊急

    .NET Framework にサービス拒否の脆弱性が存在するため、攻撃者の攻撃が可能になり、サーバーまたはアプリケーションがクラッシュするか、応答しなくなる可能性があります。

  4. MS13-085 Microsoft Excel の脆弱性により、リモートでコードが実行される(2885080)

    Microsoft Excel のメモリ破損の脆弱性(CVE-2013-3890)MS の深刻度: 重要

    Microsoft Excel が Excel ファイルのコンテンツを解析する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

    Microsoft Excel のメモリ破損の脆弱性(CVE-2013-3889)MS の深刻度: 重要

    Microsoft Excel が Excel ファイルのコンテンツを解析する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

  5. MS13-086 Microsoft Word の脆弱性により、リモートでコードが実行される(2885084)

    メモリ破損の脆弱性(CVE-2013-3892)MS の深刻度: 重要

    Microsoft Word ソフトウェアが、特別に細工されたファイルを処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。

    メモリ破損の脆弱性(CVE-2013-3891)MS の深刻度: 重要

    Microsoft Word ソフトウェアが、特別に細工されたファイルを処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。

  6. MS13-084 Microsoft SharePoint Server の脆弱性により、リモートでコードが実行される(2885089)

    Microsoft Excel のメモリ破損の脆弱性(CVE-2013-3889)MS の深刻度: 重要

    影響を受ける Microsoft Office Services と Web Apps が、特別に細工されたファイルの内容を処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

    パラメーターインジェクションの脆弱性(CVE-2013-3895)MS の深刻度: 重要

    Microsoft SharePoint Server に特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、クロスサイトスクリプティング攻撃を実行し、ログオンユーザーのセキュリティコンテキストでスクリプトを実行できる場合があります。

  7. MS13-083 Windows コモンコントロールライブラリの脆弱性により、リモートでコードが実行される(2864058)

    Comctl32 の整数オーバーフローの脆弱性(CVE-2013-3195)MS の深刻度: 緊急

    Windows コモンコントロールライブラリがデータ構造にメモリを割り当てる方法に、リモートコード実行の脆弱性が存在します。この脆弱性により、影響を受けるシステムで稼働している ASP.NET Web アプリケーションに対して、特別に細工された Web 要求を攻撃者が送信すると、リモートでコードが実行される場合があります。

  8. MS13-081 Windows カーネルモードドライバの脆弱性により、リモートでコードが実行される(2870008)

    OpenType フォントの解析の脆弱性(CVE-2013-3128)MS の深刻度: 緊急

    Windows が特別に細工された OpenType フォント(OTF)を解析する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、カーネルモードで任意のコードを実行できる場合があります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全な管理者権限を持つ新しいアカウントの作成ができる場合があります。

    Windows USB 記述子の脆弱性(CVE-2013-3200)MS の深刻度: 重要

    Windows USB ドライバがメモリ内のオブジェクトを正しく処理しない場合に、特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、カーネルモードで任意のコードを実行できる場合があります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全な管理者権限を持つ新しいアカウントの作成ができる場合があります。

    Win32k の解放後の使用方法に脆弱性(CVE-2013-3879)MS の深刻度: 重要

    Windows カーネルモードドライバがメモリ内のオブジェクトを正しく処理しない場合に、特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、カーネルモードで任意のコードを実行できる場合があります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全な管理者権限を持つ新しいアカウントの作成ができる場合があります。

    アプリコンテナの特権の昇格の脆弱性(CVE-2013-3880)MS の深刻度: 重要

    Windows アプリコンテナに、特権昇格の脆弱性が存在します。

    Win32k NULL ページの脆弱性(CVE-2013-3881)MS の深刻度: 重要

    Windows カーネルモードドライバがメモリ内のオブジェクトを正しく処理しない場合に、特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、カーネルモードで任意のコードを実行できる場合があります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全な管理者権限を持つ新しいアカウントの作成ができる場合があります。

    DirectX グラフィックカーネルサブシステムにダブルフェッチの脆弱性(CVE-2013-3888)MS の深刻度: 重要

    Microsoft DirectX グラフィックカーネルサブシステム(dxgkrnl.sys)がメモリ内のオブジェクトを適切に処理しない場合に、特権の昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、カーネルモードで任意のコードを実行できる場合があります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全な管理者権限を持つ新しいアカウントの作成ができる場合があります。

    TrueType フォントの CMAP テーブルの脆弱性(CVE-2013-3894)MS の深刻度: 緊急

    Windows が特別に細工された TrueType フォント(TTF)を解析する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、カーネルモードで任意のコードを実行できる場合があります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全な管理者権限を持つ新しいアカウントの作成ができる場合があります。

今月対処されている脆弱性についての詳しい情報は、シマンテックが無償で公開している SecurityFocus ポータルでご覧いただくことができ、製品をご利用のお客様は DeepSight Threat Management System を通じても情報を入手できます。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Microsoft Patch Tuesday – October 2013

      No Comments on Microsoft Patch Tuesday – October 2013

Hello, welcome to this month’s blog on the Microsoft patch release. This month the vendor is releasing eight bulletins covering a total of 26 vulnerabilities. Sixteen of this month’s issues are rated ’Critical’.

As always, customers are advised to follow these security best practices:

  • Install vendor patches as soon as they are available.
  • Run all software with the least privileges required while still maintaining functionality.
  • Avoid handling files from unknown or questionable sources.
  • Never visit sites of unknown or questionable integrity.
  • Block external access at the network perimeter to all key systems unless specific access is required.

Microsoft’s summary of the October releases can be found here:
http://technet.microsoft.com/en-us/security/bulletin/ms13-Oct

The following is a breakdown of the issues being addressed this month:

  1. MS13-087 Vulnerability in Silverlight Could Allow Information Disclosure (2890788)

    Silverlight Vulnerability (CVE-2013-3896) MS Rating: Important

    An information disclosure vulnerability exists in how Silverlight handles certain objects in memory.

  2. MS13-080 Cumulative Security Update for Internet Explorer (2879017)

    Internet Explorer Memory Corruption Vulnerability (CVE-2013-3871) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2013-3872) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2013-3873) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2013-3874) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2013-3875) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2013-3882) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2013-3885) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2013-3886) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2013-3893) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2013-3897) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

  3. MS13-082 Vulnerabilities in .Net Framework Could Allow Remote Code Execution (2878890)

    OpenType Font Parsing Vulnerability (CVE-2013-3128) MS Rating: Critical

    A remote code execution vulnerability exists in the way that Windows parses specially crafted OpenType fonts (OTF). An attacker who successfully exploited this vulnerability could run arbitrary code in kernel mode. An attacker could then install programs; view, change, or delete data; or create new accounts with full administrative rights.

    Entity Expansion Vulnerability (CVE-2013-3860) MS Rating: Critical

    A denial of service vulnerability exists in the .NET Framework that could allow an attacker to cause a server or application to crash or become unresponsive.

    JSON Parsing Vulnerability (CVE-2013-3861) MS Rating: Critical

    A denial of service vulnerability exists in the .NET Framework that could allow an attacker to cause a server or application to crash or become unresponsive.

  4. MS13-085 Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution (2885080)

    Microsoft Excel Memory Corruption Vulnerability (CVE-2013-3890) MS Rating: Important

    A remote code execution vulnerability exists in the way that Microsoft Excel parses content in Excel files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.

    Microsoft Excel Memory Corruption Vulnerability (CVE-2013-3889) MS Rating: Important

    A remote code execution vulnerability exists in the way that Microsoft Excel parses content in Excel files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.

  5. MS13-086 Vulnerabilities in Microsoft Word Could Allow Remote Code Execution (2885084)

    Memory Corruption Vulnerability (CVE-2013-3892) MS Rating: Important

    A remote code execution vulnerability exists in the way that the affected Microsoft Word software parses specially crafted files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.

    Memory Corruption Vulnerability (CVE-2013-3891) MS Rating: Important

    A remote code execution vulnerability exists in the way that the affected Microsoft Word software parses specially crafted files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.

  6. MS13-084 Vulnerabilities in Microsoft SharePoint Server Could Allow Remote Code Execution (2885089)

    Microsoft Excel Memory Corruption Vulnerability (CVE-2013-3889) MS Rating: Important

    A remote code execution vulnerability exists in the way that the affected Microsoft Office Services and Web Apps parse content in specially crafted files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.

    Parameter Injection Vulnerability (CVE-2013-3895) MS Rating: Important

    An elevation of privilege vulnerability exists in Microsoft SharePoint Server. An attacker who successfully exploited this vulnerability could perform cross-site scripting attacks and run script in the security context of the logged-on user.

  7. MS13-083 Vulnerability in Windows Common Control Library Could Allow Remote Code Execution (2864058)

    Comctl32 Integer Overflow Vulnerability (CVE-2013-3195) MS Rating: Critical

    A remote code execution vulnerability exists in the way that the Windows common control library handles allocating memory for data structures. The vulnerability could allow remote code execution if an attacker sends a specially crafted web request to an ASP.NET web application running on an affected system.

  8. MS13-081 Vulnerabilities in Windows Kernel-Mode Drivers Could Allow Remote Code Execution (2870008)

    OpenType Font Parsing Vulnerability (CVE-2013-3128) MS Rating: Critical

    A remote code execution vulnerability exists in the way that Windows parses specially crafted OpenType fonts (OTF). An attacker who successfully exploited this vulnerability could run arbitrary code in kernel mode. An attacker could then install programs; view, change, or delete data; or create new accounts with full administrative rights.

    Windows USB Descriptor Vulnerability (CVE-2013-3200) MS Rating: Important

    An elevation of privilege vulnerability exists when Windows USB drivers improperly handle objects in memory. An attacker who successfully exploited this vulnerability could run arbitrary code in kernel mode. An attacker could then install programs; view, change, or delete data; or create new accounts with full administrative rights.

    Win32k Use After Free Vulnerability (CVE-2013-3879) MS Rating: Important

    An elevation of privilege vulnerability exists when the Windows kernel-mode driver improperly handles objects in memory. An attacker who successfully exploited this vulnerability could run arbitrary code in kernel mode. An attacker could then install programs; view, change, or delete data; or create new accounts with full administrative rights.

    App Container Elevation of Privilege Vulnerability (CVE-2013-3880) MS Rating: Important

    An elevation of privilege vulnerability exists in the Windows App Container.

    Win32k NULL Page Vulnerability (CVE-2013-3881) MS Rating: Important

    An elevation of privilege vulnerability exists when the Windows kernel-mode driver improperly handles objects in memory. An attacker who successfully exploited this vulnerability could run arbitrary code in kernel mode. An attacker could then install programs; view, change, or delete data; or create new accounts with full administrative rights.

    DirectX Graphics Kernel Subsystem Double Fetch Vulnerability (CVE-2013-3888) MS Rating: Important

    An elevation of privilege vulnerability exists when the Microsoft DirectX graphics kernel subsystem (dxgkrnl.sys) improperly handles objects in memory. An attacker who successfully exploited this vulnerability could run arbitrary code in kernel mode. An attacker could then install programs; view, change, or delete data; or create new accounts with full administrative rights.

    TrueType Font CMAP Table Vulnerability (CVE-2013-3894) MS Rating: Critical

    A remote code execution vulnerability exists in the way that Windows parses specially crafted TrueType fonts (TTF). An attacker who successfully exploited this vulnerability could run arbitrary code in kernel mode. An attacker could then install programs; view, change, or delete data; or create new accounts with full administrative rights.

More information on the vulnerabilities being addressed this month is available at Symantec’s free SecurityFocus portal and to our customers through the DeepSight Threat Management System.