Tag Archives: exploit

????????????????????

Hacker Medic November 26, 2013 No Comments

シマンテックは、「複数の一太郎製品に存在する不解決のリモートコード実行の脆弱性」（CVE-2013-5990）として知られる一太郎の新しいゼロデイ脆弱性について、以前ブログでお伝えしました。この時点では、この脆弱性が盛んに悪用されていることは確認されたものの、うまく機能せず実際にコンピュータへの侵入はありませんでした。その 1 週間後、シマンテックは、攻撃者の意図どおりに動作する悪用コードを複数のインシデントで確認しました。この悪用コードは、標的型攻撃でよく使われているバックドアを利用して、標的のコンピュータに実際に侵入することが可能です。脆弱性の悪用に使われているファイルは、以前の攻撃と同じくリッチテキスト形式で、ジャストシステム社が開発したワープロソフトウェア「一太郎」が標的になっています。

悪用が不首尾に終わった前回の攻撃では、悪質な文書に Backdoor.Vidgrab の亜種とシェルコードが埋め込まれていました。このときのサンプルの場合、シマンテックのテスト環境では、シェルコードはバックドアを投下することができませんでした。今回の悪質な文書ファイルには、Backdoor.Korplug、Backdoor.Misdat、および Trojan Horse として検出される各種のマルウェアを投下するシェルコードが含まれています。投下されるのはいずれも、標的型攻撃でおなじみのバックドア型のトロイの木馬です。Backdoor.Korplug は 2012 年に出現して以来、標的型攻撃で頻繁に使われています。Backdoor.Misdat は 2011 年、米国や日本に拠点を置く組織が狙われたときに主として確認されましたが、最近の攻撃ではあまり使われていません。

ペイロードとして Backdoor.Vidgrab を使い続けていたうちは悪用の試みに失敗していましたが、その後は戦術を変えて各種のバックドアを使うようになり、悪用に成功するようになっています。また、シマンテックは、今回標的が広がってより多くの組織が狙われるようになっていることも確認しています。このことから、攻撃者はテスト運用を行って悪用の成否を確かめる段階を終え、いよいよ一太郎の脆弱性を悪用して実害のある攻撃を仕掛ける段階に入ったのではないかと考えられます。さらに、一太郎の脆弱性を悪用した攻撃を仕掛けるためのツールキットを他の攻撃者と共有し始めている可能性もあります。いずれにしても、この脆弱性を悪用する攻撃が増加していることは確かであり、一太郎をお使いのユーザーはこれらの攻撃に警戒する必要があります。

ただし、脆弱性の悪用に成功している攻撃が複数見つかったとしても、一太郎ユーザーが大騒ぎする必要はありません。この脆弱性に対するパッチはすでに公開されており、ダウンロードできるようになっています。まだこのパッチを適用していない場合には、ただちにパッチを適用してください。シマンテックは、今回説明した悪質なリッチテキストファイルを Trojan.Mdropper として検出します。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Ichitaro Vulnerability Successfully Exploited in the Wild

Hacker Medic November 25, 2013 No Comments

In a previous blog, Symantec reported a new Ichitaro zero-day vulnerability known as the Multiple Ichitaro Products Unspecified Remote Code Execution Vulnerability (CVE-2013-5990). This flaw was being actively exploited in the wild, but the exploit was…

Product Coverage and Mitigation for CVE-2013-3893

Hacker Medic September 20, 2013 No Comments

Microsoft Security Advisory (2887505) On September 17th, 2013, Microsoft published Security Advisory 2887505, which coverers a remote code execution vulnerability in all supported versions of Microsoft Internet Explorer. The flaw resides in the handling of objects in memory which have been deleted or improperly allocated. Specifically, a use-after-free flaw in the HTML rendering engine (aka Read more…

Tracking PDF Usage Poses a Security Problem

Hacker Medic April 26, 2013 No Comments

Looking back this year’s RSA Conference, you might have the feeling that the current threat landscape is primarily a series of advanced attacks. This concept includes well-known advanced persistent threats (APTs) and zero-day vulnerability exploits. To respond to this trend in threats, McAfee Labs has launched several innovative projects, one of which we call the Read more…

Java ???? CVE-2013-2432 ???????

Hacker Medic April 25, 2013 No Comments

Java の脆弱性は、サイバー犯罪者（悪用ツールキットの作成者）の間で常に悪用の対象となってきました。Java はオペレーティングシステムやブラウザの種類を超えて動作し、大量のユーザーに感染させられる可能性が非常に高いためです。

4 月 16 日に Oracle 社は、サポート対象の多数の製品で見つかった脆弱性に対処する 2013 年 4 月版の Java Critical Patch Update（CPU）をリリースしました。興味深いことに、それらの脆弱性のひとつ CVE-2013-2432 は、この翌日に公表され、続く 4 月 20 日に Metasploit の概念実証が公開されています。

悪用ツールキットの作成者は、一般に公開されたこの脆弱性をさっそく悪用し始めています。現在確認されているのは、Redkit と Cool 悪用ツールキットが今回の新しい Java 脆弱性を利用するケースですが、その他の悪用ツールキットにも波及するものと予測されます。

Redkit と Cool 悪用ツールキットを使ってこの脆弱性を悪用する攻撃を遮断するために、以下の侵入防止シグネチャ（IPS）が提供されています。

シマンテックのウイルス対策技術では、これらの悪質なファイルは Trojan.Maljava として検出されます。

現在この脆弱性は重大度が高いと考えられているので、Oracle 社からリリースされている Java Critical Patch Update を適用することをお勧めします。また、上記のように、脅威を未然に検出する新しい IPS シグネチャがリリースされていますので、シマンテックのセキュリティ製品を更新して最新のセキュリティコンポーネントをインストールすることもお勧めします。ただし、ソフトウェア更新やパッチに偽装するマルウェアに注意して、パッチは必ず公式 Web サイトからダウンロードしてください。

Java Exploit CVE-2013-2432 Coverage

Hacker Medic April 24, 2013 No Comments

Java vulnerabilities have always been popular among cybercriminals (exploit kits authors) since they can work across multiple browsers and even multiple operating systems, the potential for infecting large numbers of users is very high.
On April 16, Or…

Multiple Java Exploits Hide in a Jar (File)

Hacker Medic April 1, 2013 No Comments

Exploits of the Java Runtime Environment (JRE) have been extensively used in drive-by-download toolkits such as Blackhole and Red Kit. New vulnerabilities discovered in 2013, such as CVE-2013-1493 and CVE-2013-0422, are popular, and we still see lots of older exploits such as CVE-2012-1723, CVE-2012-4681, and CVE-2012-0507. These vulnerabilities are already fixed in the latest JRE. Read more…

Digging Into the Sandbox-Escape Technique of the Recent PDF Exploit

Hacker Medic February 21, 2013 No Comments

As promised in our previous blog entry for the recent Adobe Reader PDF zero-day attack, we now offer more technical details on this Reader “sandbox-escape” plan. In order to help readers understand what’s going on there, we first need to provide some background. Adobe Reader’s Sandbox Architecture The Adobe Reader sandbox consists of two processes: Read more…

Microsoft Security Advisory (2743314): Unencapsulated MS-CHAP v2 Authentication Could Allow Information Disclosure – Version: 1.0

Hacker Medic August 19, 2012 No Comments

Revision Note: V1.0 (August 20, 2012): Advisory published.
Summary: Microsoft is aware that detailed exploit code has been published for known weaknesses in the Microsoft Challenge Handshake Authentication Protocol version 2 (M…