Tag Archives: Endpoint Protection (AntiVirus)

New Internet Explorer Zero-day Found in Targeted Attacks

Hacker Medic September 18, 2013 No Comments

On September 17, Microsoft issued an advisory reporting a new zero-day vulnerability in Internet Explorer: Microsoft Internet Explorer Memory Corruption Vulnerability (CVE-2013-3893). The advisory states that the vulnerability may corrupt memory in a way that could allow attackers to execute arbitrary code. The attack works by enticing users to visit specially crafted websites that host the vulnerability through Internet Explorer. Microsoft also states that at this time the vulnerability is known to be exploited in only a limited number of targeted attacks.

While Microsoft is yet to release a patch for this vulnerability, they have provided a temporary “Fix It” tool solution as a workaround until a security update is made available. To ensure Symantec customers are protected against this Internet Explorer zero-day, the following protection has been put in place:

Antivirus
Bloodhound.Exploit.513

Intrusion Prevention System
Web Attack: Microsoft Internet Explorer CVE-2013-3893
Web Attack: MSIE Memory Corruption CVE-2013-3893 3

Symantec will continue to investigate this attack to ensure the best possible protection is in place. As always, we recommend that users keep their systems up-to-date with the latest software patches and refrain from opening any suspicious emails. We also advise customers to use the latest Symantec technologies and incorporate the latest Symantec consumer and enterprise solutions to best protect against attacks of this kind.

Hidden Lynx – ???????????

Hacker Medic September 18, 2013 No Comments

過去数年間で、各種の標的型攻撃や APT（Advanced Persistent Threat）の背後に存在する集団の活動について、詳しい報告が目に付くようになってきました。シマンテックセキュリティレスポンスは、なかでも特に精鋭と考えられるグループについて監視を続けており、これを Hidden Lynx（謎の山猫）と命名しました。この名前はコマンド & コントロールサーバーとの通信で見つかった文字列に由来します。このグループの貪欲さと機動力は、APT1/Comment Crew といった、よく知られている他のグループと比べても飛び抜けており、次のような特徴があります。

高度な技術力
俊敏性
組織力
潤沢なリソース
忍耐力

同時に複数の標的に対して長期的に続いている執拗な攻撃活動に、こうした特徴が見て取れます。標的を待ち伏せる「水飲み場型」攻撃の先駆者であり、ゼロデイ脆弱性にもまっ先に目を付けます。そして、真の標的にたどり着くためにまずサプライチェーンに侵入するという、まるで熟練したハンター並の粘り強さも持ち合わせています。サプライチェーン攻撃を仕掛けるには、まず狙った標的組織のサプライヤのコンピュータに侵入します。そのうえで、感染したコンピュータが設置され、応答するのを待ちます。これは間違いなく冷静に計算し尽くされた行動であり、素人の衝動的な思いつきなどではありません。

このグループの攻撃は少数の標的に限定されているわけではなく、さまざまな地域で何百もの組織が同時に狙われることもあります。被害を受けた標的や地域の数と多様さを考えると、このグループは雇われのプロハッカー集団である可能性が高く、クライアントと契約して情報を提供しているものと推察されます。クライアントが望む情報を依頼に応じて盗み出しているため、標的が多様化しているのでしょう。

また、これほどの規模で攻撃を実行するためには、ハッキングに関して相当の専門知識を自在に操れることが必要です。グループにはおそらく 50 ～ 100 人規模の工作員が雇われており、それが少なくとも 2 つ別個のチームに編成され、異なるツールや技術を用いてそれぞれ別の活動に当たっていると考えられます。こうしたタイプの攻撃を実行するには時間と労力が必要であり、ときには攻撃に成功するために事前の調査と情報収集が必要な場合もあります。

このグループでも最前線に立っているのが、基本的ながらも効果的な手口と使い捨てのツールを利用してさまざまな標的を攻撃しているチームです。このチームは情報収集活動にも当たっており、使われているトロイの木馬にちなんで Team Moudoor と呼ばれています。Moudoor はバックドア型のトロイの木馬で、セキュリティ企業による検出を意に介することなく奔放に使われています。これとは別に、特殊作戦部隊のような機能を果たしているチームもあります。かつて、非常に貴重で厳重な標的に侵入したことのあるエリート集団です。このエリートチームは、Naid という名前のトロイの木馬を使っていることから、Team Naid と呼ばれています。Moudoor とは異なり、Naid は検出や捕捉を避けるために非常に慎重に使われています。さながら、絶対に失敗が許されない秘密兵器のようです。

このグループは、2011 年以降少なくとも 6 件の重大な活動に関わっていることが確認されています。特に有名なのが、2012 年 6 月の VOHO 攻撃です。この攻撃で特に注目に値するのは、水飲み場型攻撃の手口が使われたことと、Bit9 社の信頼済みファイル署名インフラが侵害されたことです。VOHO 攻撃の最終的な標的は米国の軍事企業で、そのシステムは Bit9 社の信頼ベースのソフトウェアで保護されていました。その保護機能によって攻撃が遮断されたときに、Hidden Lynx は作戦を見直し、保護をすり抜けるには保護システムの心臓部そのものに侵入して、自分たちの目的に合わせて悪用するのが一番だと気づきます。こうして Hidden Lynx は、Bit9 社に攻撃の目を向け、そのシステムを侵害したのです。侵害を果たした攻撃者は、Bit9 社の保護モデルの基盤であるファイル署名インフラへの侵入路も瞬時に見つけだします。そして、このシステムを使って多数のマルウェアファイルに署名し、さらにその署名済みのファイルを使って最終的な標的への侵入に成功しました。

さらに詳しい情報については、Hidden Lynx グループと、その攻撃活動について解説したホワイトペーパー（英語）を参照してください。

また、多くの被害をもたらしている同グループについて重要な情報をまとめた、以下の解説画像もご覧ください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Hidden Lynx – Professional Hackers for Hire

Hacker Medic September 17, 2013 No Comments

For the past few years, reports have continued to emerge detailing the activities of actors behind various targeted attacks or Advanced Persistent Threats (APTs). Here at Symantec Security Response, we’ve been keeping our eyes on a group that we …

?????????????Microsoft Patch Tuesday?- 2013 ? 9 ?

Hacker Medic September 13, 2013 No Comments

今月のマイクロソフトパッチリリースブログをお届けします。今月は、47 件の脆弱性を対象として 13 個のセキュリティ情報がリリースされています。このうち 13 件が「緊急」レベルです。

いつものことですが、ベストプラクティスとして以下のセキュリティ対策を講じることを推奨します。

ベンダーのパッチが公開されたら、できるだけ速やかにインストールする。
ソフトウェアはすべて、必要な機能を使える最小限の権限で実行する。
未知の、または疑わしいソースからのファイルは扱わない。
整合性が未知の、または疑わしいサイトには絶対にアクセスしない。
特定のアクセスが必要な場合を除いて、ネットワークの周辺部では重要なシステムへの外部からのアクセスを遮断する。

マイクロソフトの 9 月のリリースに関する概要は、次のページで公開されています。
http://technet.microsoft.com/ja-jp/security/bulletin/ms13-Sep

今月のパッチで対処されている問題の一部について、詳しい情報を以下に示します。

MS13-068 Microsoft Outlook の脆弱性により、リモートでコードが実行される（2756473）

メッセージ証明書の脆弱性（CVE-2013-3870）MS の深刻度: 緊急

Microsoft Outlook が、特別に細工された S/MIME 電子メールメッセージを処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。
MS13-069 Internet Explorer 用の累積的なセキュリティ更新プログラム（2870699）

Internet Explorer のメモリ破損の脆弱性（CVE-2013-3201）MS の深刻度: 緊急

Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

Internet Explorer のメモリ破損の脆弱性（CVE-2013-3202）MS の深刻度: 緊急

Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

Internet Explorer のメモリ破損の脆弱性（CVE-2013-3203）MS の深刻度: 緊急

Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

Internet Explorer のメモリ破損の脆弱性（CVE-2013-3204）MS の深刻度: 緊急

Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

Internet Explorer のメモリ破損の脆弱性（CVE-2013-3205）MS の深刻度: 緊急

Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

Internet Explorer のメモリ破損の脆弱性（CVE-2013-3206）MS の深刻度: 緊急

Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

Internet Explorer のメモリ破損の脆弱性（CVE-2013-3207）MS の深刻度: 緊急

Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

Internet Explorer のメモリ破損の脆弱性（CVE-2013-3208）MS の深刻度: 緊急

Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

Internet Explorer のメモリ破損の脆弱性（CVE-2013-3209）MS の深刻度: 緊急

Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

Internet Explorer のメモリ破損の脆弱性（CVE-2013-3845）MS の深刻度: 緊急

Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
MS13-067 Microsoft Sharepoint Server の脆弱性により、リモートでコードが実行される（2834052）

SharePoint のサービス拒否の脆弱性（CVE-2013-0081）MS の深刻度: 重要

Microsoft SharePoint Server にサービス拒否の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるバージョンの SharePoint Server 上で W3WP プロセスが応答しなくなる可能性があります。その場合、SharePoint サイトや、このプロセスの下で実行されているその他のサイトが使用できなくなり、このプロセスの再起動が必要になります。

MAC 無効の脆弱性（CVE-2013-1330）MS の深刻度: 緊急

SharePoint Server が未割り当てのワークフローを処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、W3WP サービスアカウントのコンテキストで任意のコードを実行できる場合があります。

SharePoint XSS の脆弱性（CVE-2013-3179）MS の深刻度: 重要

Microsoft SharePoint Server に特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、クロスサイトスクリプティング攻撃を実行し、ログオンユーザーのセキュリティコンテキストでスクリプトを実行できる場合があります。

POST XSS の脆弱性（CVE-2013-3180）MS の深刻度: 重要

Microsoft SharePoint Server に特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、クロスサイトスクリプティング攻撃を実行し、ログオンユーザーのセキュリティコンテキストでスクリプトを実行できる場合があります。
MS13-072 Microsoft Office の脆弱性により、リモートでコードが実行される（2845537）

XML 外部エンティティ解決の脆弱性（CVE-2013-3160）MS の深刻度: 重要

外部エンティティを含む特別に細工された XML ファイルを Microsoft Word が解析する方法に、情報漏えいの脆弱性が存在します。

Word のメモリ破損の脆弱性（CVE-2013-3847）MS の深刻度: 重要

Microsoft Office ソフトウェアが、特別に細工されたファイルを処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。

Word のメモリ破損の脆弱性（CVE-2013-3848）MS の深刻度: 重要

Microsoft Office ソフトウェアが、特別に細工されたファイルを処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。

Word のメモリ破損の脆弱性（CVE-2013-3849）MS の深刻度: 重要

Microsoft Office ソフトウェアが、特別に細工されたファイルを処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。

Word のメモリ破損の脆弱性（CVE-2013-3850）MS の深刻度: 重要

Microsoft Office ソフトウェアが、特別に細工されたファイルを処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。

Word のメモリ破損の脆弱性（CVE-2013-3851）MS の深刻度: 重要

Microsoft Office ソフトウェアが、特別に細工されたファイルを処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。

Word のメモリ破損の脆弱性（CVE-2013-3852）MS の深刻度: 重要

Microsoft Office ソフトウェアが、特別に細工されたファイルを処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。

Word のメモリ破損の脆弱性（CVE-2013-3853）MS の深刻度: 重要

Microsoft Office ソフトウェアが、特別に細工されたファイルを処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。

Word のメモリ破損の脆弱性（CVE-2013-3854）MS の深刻度: 重要

Microsoft Office ソフトウェアが、特別に細工されたファイルを処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。

Word のメモリ破損の脆弱性（CVE-2013-3855）MS の深刻度: 重要

Microsoft Office ソフトウェアが、特別に細工されたファイルを処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。

Word のメモリ破損の脆弱性（CVE-2013-3856）MS の深刻度: 重要

Microsoft Office ソフトウェアが、特別に細工されたファイルを処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。

Word のメモリ破損の脆弱性（CVE-2013-3857）MS の深刻度: 重要

Microsoft Office ソフトウェアが、特別に細工されたファイルを処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。

Word のメモリ破損の脆弱性（CVE-2013-3858）MS の深刻度: 重要

Microsoft Office ソフトウェアが、特別に細工されたファイルを処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。
MS13-074 Microsoft Access の脆弱性により、リモートでコードが実行される（2848637）

Access のメモリ破損の脆弱性（CVE-2013-3155）MS の深刻度: 重要

Microsoft Access が Access ファイルのコンテンツを解析する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

Access のメモリ破損の脆弱性（CVE-2013-3156）MS の深刻度: 重要

Microsoft Access が Access ファイルのコンテンツを解析する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

Access のメモリ破損の脆弱性（CVE-2013-3157）MS の深刻度: 重要

Microsoft Access が Access ファイルのコンテンツを解析する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。
MS13-073 Microsoft Excel の脆弱性により、リモートでコードが実行される（2858300）

Microsoft Office のメモリ破損の脆弱性（CVE-2013-1315）MS の深刻度: 重要

Microsoft Excel が Excel ファイルのコンテンツを解析する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

Microsoft Office のメモリ破損の脆弱性（CVE-2013-3158）MS の深刻度: 重要

Microsoft Excel が Excel ファイルのコンテンツを解析する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

XML 外部エンティティ解決の脆弱性（CVE-2013-3159）MS の深刻度: 重要

外部エンティティを含む特別に細工された XML ファイルを Microsoft Excel が解析する方法に、情報漏えいの脆弱性が存在します。
MS13-071 Windows テーマファイルの脆弱性により、リモートでコードが実行される（2864063）

Windows テーマファイルのリモートコード実行の脆弱性（CVE-2013-0810）MS の深刻度: 重要

Windows が特別に細工された Windows テーマファイルを処理する方法に、リモートコード実行の脆弱性が存在します。この脆弱性により、特別に細工された Windows テーマを適用するよう攻撃者が誘導した場合に、任意のコードが実行される可能性があります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。
MS13-077 Windows サービスコントロールマネージャの脆弱性により、特権が昇格される（2872339）

サービスコントロールマネージャのダブルフリーの脆弱性（CVE-2013-3862）MS の深刻度: 重要

Windows サービスコントロールマネージャ（SCM）がメモリ内のオブジェクトを処理する方法に脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、任意のコードを実行し、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。
MS13-070 OLE の脆弱性により、リモートでコードが実行される（2876217）

OLE プロパティの脆弱性（CVE-2013-3863）MS の深刻度: 重要

ユーザーが特別に細工された OLE オブジェクトを含むファイルを開いた場合に、リモートでコードが実行される可能性のある脆弱性が OLE に存在します。攻撃者がこの脆弱性の悪用に成功すると、ログオンユーザーと同じユーザー権限を取得する可能性があります。ユーザーが管理者ユーザー権限でログオンしている場合は、影響を受けるコンピュータを攻撃者が完全に制御する可能性があります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。
MS13-078 FrontPage の脆弱性により、情報漏えいが起こる（2825621）

XML の情報漏えいの脆弱性（CVE-2013-3137）MS の深刻度: 重要

FrontPage に情報漏えいの脆弱性が存在するため、標的となったシステム上のファイルの内容を攻撃者が開示できる場合があります。
MS13-075 Microsoft Office IME（中国語版）の脆弱性により、特権が昇格される（2878687）

中国語版 IME の脆弱性（CVE-2013-3859）MS の深刻度: 重要

特権の低いユーザーが自らの特権を昇格できる可能性のある特権の脆弱性が、中国語版の Office IME に存在します。
MS13-076 カーネルモードドライバの脆弱性により、特権が昇格される（2876315）

Win32k の複数フェッチの脆弱性（CVE-2013-1341）MS の深刻度: 重要

Windows カーネルモードドライバがメモリ内のオブジェクトを正しく処理しない場合に、特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、特権が昇格し、任意の量のカーネルメモリが読み取られる可能性があります。

Win32k の複数フェッチの脆弱性（CVE-2013-1342）MS の深刻度: 重要

Windows カーネルモードドライバがメモリ内のオブジェクトを正しく処理しない場合に、特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、特権が昇格し、任意の量のカーネルメモリが読み取られる可能性があります。

Win32k の複数フェッチの脆弱性（CVE-2013-1343）MS の深刻度: 重要

Windows カーネルモードドライバがメモリ内のオブジェクトを正しく処理しない場合に、特権昇格の脆弱性が存在します。攻

?????????????????

Hacker Medic September 13, 2013 No Comments

フィッシング詐欺師がフィッシング用のサイトを本物のサイトとそっくり同じに偽装しようとすることは、よく知られています。JavaScript を使って静的なページに現在の日付を埋め込むなど、これまでにも多種多様な手口が確認されています。シマンテックは最近、汎用的なフィッシングメールが増えていることを発見しました。通常のフィッシングでは標的を想定するのが普通ですが（銀行の顧客、ソーシャルネットワークのユーザーなど）、汎用的なフィッシングメールの手口は少し変わっています。それは、相手を問わず任意の電子メールアドレスを標的にするということです。

たいていの場合、この汎用的なフィッシングメールでは、受信ユーザーのメールボックスが容量の上限を超えたとして、電子メールの消失を避けるために至急メールボックスを「再有効化」するよう指示します。先日シマンテックが特定した汎用的なフィッシングメールの Web サイトも、一見すると正規のサイトのようです。素人仕事のような外見（フィッシング詐欺師がデザインスキルに乏しく、プロの手によるサイトを真似られないことの証です）ではあるものの、ある意味では際立っています。背景が魚の絵のパターンになっているからです。

図. 汎用的なフィッシング Web サイトの背景に描かれた魚のパターン

特にこの背景を選んだフィッシング詐欺師の意図はわかりません。たまたま起きた残念なミスかもしれませんし、フィッシング詐欺師の内輪だけで通じるジョークなのかもしれません。あるいは、これが本当はフィッシングサイトであると、意味のわかるユーザーにだけ通じる大胆で露骨なヒントのつもりとも考えられます。それとも、サイトの一部がイタリア語で書かれていることから、この詐欺師は「フィッシング（phish）」と「魚（fish）」が類似していることを知らなかったのでしょうか。

フィッシング詐欺から保護するために、アカウントが制限されているなどと理由をつけて更新の必要性を訴えるようなメッセージには注意してください。また、セキュリティソフトウェアは常に最新の状態に保つようにしてください。Symantec.cloud や Symantec Messaging Gateway をお使いの方は、こうした脅威から保護されています。

Would You Like Some Fish with That Phishing Site?

Hacker Medic September 12, 2013 No Comments

Phishers are known for making their phishing sites look exactly like the sites they are spoofing. We have seen plenty of examples of the detail they employ, like using JavaScript to include the current date in their static pages. In recent times, Symantec have seen an increase in generic email phishing. Unlike normal phishing, where phishing messages usually have a target in mind (bank customers or social network users, for instance), the generic email phishing technique is slightly different. In generic email phishing, the phishers will target any email address; who the target is does not matter.

These generic phishing messages usually claim that the recipient’s mailbox size has been exceeded, and direct them to urgently “re-validate” their mailbox to prevent disruption to their email. Symantec recently identified a generic email phishing website which, at first glance, appeared normal. It looked fairly amateurish—demonstrating phishers’ poor design skills when they don’t have a professional site to rip off—but the site was strikingly unusual for one reason: it had a fish pattern background.

Figure. Generic phishing website with fish pattern background.

We are not sure exactly why phishers decided to use this particular background. Was it a random, unfortunate mistake? An inside joke among fellow phishers? Or perhaps a brazen but not-so-subtle hint to experienced users that it was actually a phishing site? Perhaps—since the site is partially in Italian—the phishers were unaware of the similarity between “phish” and “fish”?

To protect yourself from phishing scams, be wary of messages claiming that your account has been restricted or somehow needs to be updated. Keep your security software up to date. Symantec.cloud and Symantec Messaging Gateway customers are protected from these threats.

????????? Android ????????

Hacker Medic September 12, 2013 No Comments

寄稿: Lionel Payet

今年 6 月、シマンテックはユーザーの Android 端末を乗っ取って身代金を請求する悪質な Android アプリを発見しました。この発見で、ランサムウェアが携帯デバイスなどの新しいプラットフォームにも出現するだろうという以前の予測が的中したことになります。

プレエンプティブな SMS スパムドメイン識別の一環として、シマンテックは最近登録されたばかりのドメインを検出しました。このドメインが、ランサムウェアのソーシャルエンジニアリングを利用する新しい偽ウイルス対策ソフトウェアの Android 版を送り出しています。また別の手がかりから、このアプリは Android.Fakedefender の背後にいるのと同じ作成者に関係している、またはその作成者から発信されていると考えられています。Android.Fakedefender については、去る 6 月にこのブログでもお伝えしました。デザインが新しくなり、身代金の支払い方法も変化していますが、今回の新しい亜種のパッケージファイルには今も古い画像が含まれています。新旧どちらのバージョンも、標的は主としてロシア語圏のユーザーです。

この亜種の感染経路はまだ判明していませんが、悪質なドメインへのリンクを記載したスパムが使われているものとシマンテックは見ています。

Domain picture 2.JPG

図 1. 最近登録されたばかりのドメインから悪質な Android アプリが送信される

この悪質なアプリの背後にいる作成者は、サードパーティの未知のソースから Android アプリをインストールさせようとします。

シマンテックは、この悪質なアプリを Android.Fakedefender.B として検出します。Android.Fakedefender.B は、アダルトビデオサイトの公式アプリケーションに偽装しており、ソーシャルエンジニアリングに引っかかってアプリをインストールしたユーザーは、Android デバイスからロックアウトされてしまいます。

インストールすると警告メッセージが表示され、ユーザーはアプリの全機能を使う前にウイルススキャンを実行するよう促されます。

このマルウェアの旧バージョンは、Android Defender アプリに偽装していましたが、今回のバージョンが偽装しているのは、ウイルス対策ソフトウェアとして知られる Avast です。ウイルススキャンが完了すると、デバイスが別の脅威やウイルスに感染していると思い込ませ、保護のためにデバイスをロックすると通知してきます。

今回の亜種で、作成者がランサムウェアの支払い方法として使っているのは MoneyPak で、デバイスのロックを解除するには 100 米ドルが必要です。以前のバージョンでは、ロック解除の引き換え条件としてユーザーのクレジットカード番号が求められていました。Web マネーは、Windows プラットフォームで偽ウイルス対策ソフトウェアやランサムウェアに好んで用いられる手段であり、何年も前から使われています。被害を受けたユーザーから見ると、直接クレジットカード情報を渡すより、いずれかの Web 決済会社を介した支払いのほうが、正規で安全という印象があるようです。

図 2. 偽のウイルス対策アプリ

Windows システム上の偽ウイルス対策ソフトウェアやランサムウェア何年も前から成功しており、新しい手口と設計を身に着けて進化し続けています。Android 版のモバイルマルウェアも同じような進化の道をたどり、ユーザーを欺いて身代金を払わせるために、新しい手口を備えるようになると、シマンテックは予測してきました。

現時点で、Android.FakeDefender.B は被害者が感染を除去できないようにする目的で悪用を組み込んではいません。これまでには、Android.Obad のように他の Android マルウェアが、密かにデバイスの管理者権限を利用してマルウェアの除去を難しくする例が確認されていました。Android.FakeDefender.B の作成者は、ソーシャルエンジニアリングと、連続ポップアップのような簡単な手口を利用して被害者から金銭を詐取しようとします。Android.FakeDefender.B に感染しても、Android デバイスのアプリケーションの管理機能を使えばマルウェアはアンインストールできます。

そもそもの感染を防ぐためには、ノートンモバイルセキュリティや Symantec Mobile Security などのセキュリティアプリのインストールをお勧めします。信頼できるアプリマーケットからダウンロードしたアプリのみをインストールするようにすれば、悪質なアプリは回避できます。スマートフォンとタブレットの安全性に関する一般的なヒントは、モバイルセキュリティの Web サイト（英語）にアクセスしてください。

Android Ransomware Predictions Hold True

Hacker Medic September 11, 2013 No Comments

Contributor: Lionel Payet
Back in June we discovered a malicious Android application that was holding user’s Android phones for ransom. This discovery confirmed earlier predictions that ransomware would evolve and arise on new platforms, such as …

Microsoft Patch Tuesday – September 2013

Hacker Medic September 10, 2013 No Comments

Hello, welcome to this month’s blog on the Microsoft patch release. This month the vendor is releasing thirteen bulletins covering a total of 47 vulnerabilities. Thirteen of this month’s issues are rated ’Critical’.

As always, customers are advised to follow these security best practices:

Install vendor patches as soon as they are available.
Run all software with the least privileges required while still maintaining functionality.
Avoid handling files from unknown or questionable sources.
Never visit sites of unknown or questionable integrity.
Block external access at the network perimeter to all key systems unless specific access is required.

Microsoft’s summary of the September releases can be found here:
http://technet.microsoft.com/en-us/security/bulletin/ms13-Sep

The following is a breakdown of the issues being addressed this month:

MS13-068 Vulnerability in Microsoft Outlook Could Allow Remote Code Execution (2756473)

Message Certificate Vulnerability (CVE-2013-3870) MS Rating: Critical

A remote code execution vulnerability exists in the way that Microsoft Outlook parses specially crafted S/MIME email messages. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.
MS13-069 Cumulative Security Update for Internet Explorer (2870699)

Internet Explorer Memory Corruption Vulnerability (CVE-2013-3201) MS Rating: Critical

A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

Internet Explorer Memory Corruption Vulnerability (CVE-2013-3202) MS Rating: Critical

A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

Internet Explorer Memory Corruption Vulnerability (CVE-2013-3203) MS Rating: Critical

A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

Internet Explorer Memory Corruption Vulnerability (CVE-2013-3204) MS Rating: Critical

A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

Internet Explorer Memory Corruption Vulnerability (CVE-2013-3205) MS Rating: Critical

A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

Internet Explorer Memory Corruption Vulnerability (CVE-2013-3206) MS Rating: Critical

A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

Internet Explorer Memory Corruption Vulnerability (CVE-2013-3207) MS Rating: Critical

A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

Internet Explorer Memory Corruption Vulnerability (CVE-2013-3208) MS Rating: Critical

A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

Internet Explorer Memory Corruption Vulnerability (CVE-2013-3209) MS Rating: Critical

A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

Internet Explorer Memory Corruption Vulnerability (CVE-2013-3845) MS Rating: Critical

A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.
MS13-067 Vulnerabilities in Microsoft SharePoint Server Could Allow Remote Code Execution (2834052)

SharePoint Denial of Service Vulnerability (CVE-2013-0081) MS Rating: Important

A denial of service vulnerability exists in Microsoft SharePoint Server. An attacker who successfully exploited this vulnerability could cause the W3WP process on an affected version of SharePoint Server to stop responding, causing the SharePoint site, and any other sites running under that process, to become unavailable until the process is restarted.

MAC Disabled Vulnerability (CVE-2013-1330) MS Rating: Critical

A remote code execution vulnerability exists in the way SharePoint Server handles unassigned workflows. An attacker who successfully exploited this vulnerability could run arbitrary code in the context of the W3WP service account.

SharePoint XSS Vulnerability (CVE-2013-3179) MS Rating: Important

An elevation of privilege exists in Microsoft SharePoint Server. An attacker who successfully exploited this vulnerability could allow an attacker to perform cross-site scripting attacks and run script in the security context of the logged-on user.

POST XSS Vulnerability (CVE-2013-3180) MS Rating: Important

An elevation of privilege exists in Microsoft SharePoint Server. An attacker who successfully exploited this vulnerability could allow an attacker to perform cross-site scripting attacks and run script in the security context of the logged-on user.
MS13-072 Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (2845537)

XML External Entities Resolution Vulnerability (CVE-2013-3160) MS Rating: Important

An information disclosure vulnerability exists in the way that Microsoft Word parses specially crafted XML files containing external entities.

Word Memory Corruption Vulnerability (CVE-2013-3847) MS Rating: Important

A remote code execution vulnerability exists in the way that affected Microsoft Office software parses specially crafted files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.

Word Memory Corruption Vulnerability (CVE-2013-3848) MS Rating: Important

A remote code execution vulnerability exists in the way that affected Microsoft Office software parses specially crafted files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.

Word Memory Corruption Vulnerability (CVE-2013-3849) MS Rating: Important

A remote code execution vulnerability exists in the way that affected Microsoft Office software parses specially crafted files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.

Word Memory Corruption Vulnerability (CVE-2013-3850) MS Rating: Important

A remote code execution vulnerability exists in the way that affected Microsoft Office software parses specially crafted files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.

Word Memory Corruption Vulnerability (CVE-2013-3851) MS Rating: Important

A remote code execution vulnerability exists in the way that affected Microsoft Office software parses specially crafted files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.

Word Memory Corruption Vulnerability (CVE-2013-3852) MS Rating: Important

A remote code execution vulnerability exists in the way that affected Microsoft Office software parses specially crafted files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.

Word Memory Corruption Vulnerability (CVE-2013-3853) MS Rating: Important

A remote code execution vulnerability exists in the way that affected Microsoft Office software parses specially crafted files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.

Word Memory Corruption Vulnerability (CVE-2013-3854) MS Rating: Important

A remote code execution vulnerability exists in the way that affected Microsoft Office software parses specially crafted files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.

Word Memory Corruption Vulnerability (CVE-2013-3855) MS Rating: Important

A remote code execution vulnerability exists in the way that affected Microsoft Office software parses specially crafted files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.

Word Memory Corruption Vulnerability (CVE-2013-3856) MS Rating: Important

A remote code execution vulnerability exists in the way that affected Microsoft Office software parses specially crafted files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.

Word Memory Corruption Vulnerability (CVE-2013-3857) MS Rating: Important

A remote code execution vulnerability exists in the way that affected Microsoft Office software parses specially crafted files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.

Word Memory Corruption Vulnerability (CVE-2013-3858) MS Rating: Important

A remote code execution vulnerability exists in the way that affected Microsoft Office software parses specially crafted files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.
MS13-074 Vulnerabilities in Microsoft Access Could Allow Remote Code Execution (2848637)

Access Memory Corruption Vulnerability (CVE-2013-3155) MS Rating: Important

A remote code execution vulnerability exists in the way that Microsoft Access parses content in Access files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.

Access Memory Corruption Vulnerability (CVE-2013-3156) MS Rating: Important

A remote code execution vulnerability exists in the way that Microsoft Access parses content in Access files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.

Access Memory Corruption Vulnerability (CVE-2013-3157) MS Rating: Important

A remote code execution vulnerability exists in the way that Microsoft Access parses content in Access files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
MS13-073 Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution (2858300)

Microsoft Office Memory Corruption Vulnerability (CVE-2013-1315) MS Rating: Important

A remote code execution vulnerability exists in the way that Microsoft Excel parses content in Excel files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.

Microsoft Office Memory Corruption Vulnerability (CVE-2013-3158) MS Rating: Important

A remote code execution vulnerability exists in the way that Microsoft Excel parses content in Excel files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.

XML External Entities Resolution Vulnerability (CVE-2013-3159) MS Rating: Important

An information disclosure vulnerability exists in the way that Microsoft Excel parses specially crafted XML files containing external entities.
MS13-071 Vulnerability in Windows Theme File Could Allow Remote Code Execution (2864063)

Windows Theme File Remote Code Execution Vulnerability (CVE-2013-0810) MS Rating: Important

A remote code execution vulnerability exists in the way Windows handles certain specially crafted Windows theme files. This vulnerability could allow an attacker to execute arbitrary code if the attacker convinces a user to apply a specially crafted Windows theme. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.
MS13-077 Vulnerability in Windows Service Control Manager Could Allow Elevation of Privilege (2872339)

Service Control Manager Double Free Vulnerability (CVE-2013-3862) MS Rating: Important

A vulnerability exists in the way that the Windows Service Control Manager (SCM) handles objects in memory. An attacker who successfully exploited this vulnerability could execute arbitrary code and take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.
MS13-070 Vulnerability in OLE Could Allow Remote Code Execution (2876217)

OLE Property Vulnerability (CVE-2013-3863) MS Rating: Important

A vulnerability exists in OLE that could lead to remote code execution if a user opens a file that contains a specially crafted OLE object. An attacker who successfully exploited this vulnerability could gain the same user rights as the logged-on user. If a user is logged on with administrative user rights, an attacker could take complete control of the affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
MS13-078 Vulnerability in FrontPage Could Allow Information Disclosure (2825621)

XML Disclosure Vulnerability (CVE-2013-3137) MS Rating: Important

An information disclosure vulnerability exists in FrontPage that could allow an attacker to disclose the contents of a file on a target system.
MS13-075 Vulnerability in Microsoft Office IME (Chinese) Could Allow Elevation of Privilege (2878687)

Chinese IME Vulnerability (CVE-2013-3859) MS Rating: Important

An elevation of privilege vulnerability exists in Office IME (Chinese) that could allow a low-privilege user to elevate their privileges.
MS13-076 Vulnerabilities in Kernel-Mode Drivers Could Allow Elevation of Privilege (2876315)

Win32k Multiple Fetch Vulnerability (CVE-2013-1341) MS Rating: Important

An elevation of privilege vulnerability exists when the Windows kernel-mode driver improperly handles objects in memory. An attacker who successfully exploited this vulnerability could gain elevated privileges and read arbitrary amounts of kernel memory.

Win32k Multiple Fetch Vulnerability (CVE-2013-1342) MS Rating: Important

An elevation of privilege vulnerability exists when the Windows kernel-mode driver improperly handles objects in memory. An attacker who successfully exploited this vulnerability could gain elevated privileges and read arbitrary amounts of kernel memory.

Win32k Multiple Fetch Vulnerability (CVE-2013-1343) MS Rating: Important

An elevation of privilege vulnerability exists when the Windows kernel-mode driver improperly handles objects in memory. An attacker who successfully exploited this vulnerability could gain elevated privileges and read arbitrary amounts of kernel memory.

Win32k Multiple Fetch Vulnerability (CVE-2013-1344) MS Rating: Important

An elevation of privilege vulnerability exists when the Windows kernel-mode driver improperly handles objects in memory. An attacker who successfully exploited this vulnerability could gain elevated privileges and read arbitrary amounts of kernel memory.

Win32k Multiple Fetch Vulnerability (CVE-2013-3864) MS Rating: Important

An elevation of privilege vulnerability exists when the Windows kernel-mode driver improperly handles objects in memory. An attacker who successfully exploited this vulnerability could gain elevated privileges and read arbitrary amounts of kernel memory.

Win32k Multiple Fetch Vulnerability (CVE-2013-3865) MS Rating: Important

An elevation of privilege vulnerability exists when the Windows kernel-mode driver improperly handles objects in memory. An attacker who successfully exploited this vulnerability could gain elevated privileges and read arbitrary amounts of kernel memory.

Win32k Elevation of Privilege Vulnerability (CVE-2013-3866) MS Rating: Important

An elevation of privilege vulnerability exists when the Windows kernel-mode driver improperly handles objects in memory. An attacker who successfully exploited this vulnerability could gain elevated privileges and read arbitrary amounts of kernel memory.
MS13-079 Vulnerability in Active Directory Could Allow Denial of Service (2853587)

Remote Anonymous DoS Vulnerability (CVE-2013-3868) MS Rating: Important

A denial of service vulnerability exists in implementations of Active Directory that could cause the service to stop responding until an administrator restarts the service. The vulnerability is caused when the LDAP service fails to handle a specially crafted query.

More information on the vulnerabilities being addressed this month is available at Symantec’s free SecurityFocus portal and to our customers through the DeepSight Threat Management System.

8 ?? Google Play ?????????????????

Hacker Medic September 10, 2013 No Comments

8 月といえば、世界中の多くの人々が仕事の手をいったん休め、休暇を過ごす時期でしょう。しかし、日本でワンクリック詐欺アプリを開発している詐欺師たちにとっては、8 月こそが繁忙期だったようです。この月、詐欺師たちは生産性を大きく伸ばし、1,000 個近くの詐欺アプリを Google Play に公開しました。Google Play に表示されている統計データによると、騙されてしまった Android デバイスユーザーが、詐欺アプリを少なくとも累計 8,500 回ダウンロードしています。実際の数字はおそらくそれよりもはるかに多く、10,000 回以上ダウンロードされているものと思われます。

図 1. 8 月中 1 日あたりに公開された詐欺アプリ数

1 月から 8 月末までに公開されたワンクリック詐欺アプリ数は合計で約 2,500 個です。しかも、詐欺師たちがその手を緩める兆しは一向に見えません。これまでと同様に、8 月に公開された詐欺アプリの大半は、翌朝にはストアから削除され、一晩しか持ちませんでした。それでも、詐欺師たちにとっては、ダウンロード数を稼ぐのに十分な時間のようです。詐欺アプリはたいてい、オフィスでの作業時間が終わると思われる毎日午後に公開されます。週末にかけて公開されれば、詐欺アプリが生き残る可能性も高くなるのに加え、運が良ければ数日間もサイト上に残り、多くのダウンロード数を稼ぐものもあります。

図 2. 月間の詐欺アプリ公開数

7 月と同じく、8 月にも新しいタイプのワンクリック詐欺アプリが登場しています。採用されている戦略はさまざまですが、いずれの亜種もそれほどの成功を収められずに短期間で姿を消しています。興味深いことに、アプリを公開している詐欺師たちの 97 % が同じグループに所属しています。

図 3. 8 月に公開された詐欺アプリの亜種

最新型の亜種のうち、ダウンロード数は限られているものの、Google Play でうまく生き残ったものが 1 つあります。この詐欺アプリには、さまざまなアダルト関連サイトへのリンクが仕込まれていますが、そのうち 1 つか 2 つは実際には詐欺サイトにつながっており、有料サービスに適切に登録しないままに料金を支払うようユーザーを騙そうとします。たいてい、こうした詐欺サイトではアダルト動画を見るための料金と称して 10 万円程度要求されますが、これは合法的なサービスの平均よりもはるかに高い金額です。この詐欺アプリは、他の合法的なリンクの中に悪質なリンクを紛れ込ませることで、セキュリティチェックに見つからないように偽装します。この悪質なリンクは、リダイレクタ URL に誘導され、リダイレクタで指定されているサイトを開くようにアプリに指示します。そのため、悪質な活動に関係していると疑われても、詐欺師たちは、詐欺アプリが最終的にどこに誘導されるかをサーバー側で簡単に変更することができます。

詐欺アプリの動作は、次のとおりです。

アプリをインストールすると、アダルト関連動画サイトへのリンクが複数表示されます。
一部のリンクから詐欺サイトに誘導されます。これらのサイトのいずれかから動画を選択します。
動画を再生しようとします。
料金を支払うように要求されます。

図 4. 詐欺アプリ

アプリストアではアプリを簡単に検索してダウンロードすることができますが、騙されて不正なアプリをダウンロードしてしまうリスクが常に伴います。確実に信頼できるアプリのみをインストールするようにしてください。デバイスを保護するためにノートンモバイルセキュリティを使用することをお勧めします。シマンテック製品では、このブログで説明した詐欺アプリは Android.Oneclickfraud として検出されます。