Opinion by Ondrej Vlcek, Chief Operations Officer at AVAST Software The termination of security updates by Microsoft to Windows XP will create severe security issues. The already rather unsafe operating system will face even more risks with the missing security updates, but the question is: Should Windows XP users be the only ones worried? Microsoft […]
先日のブログで、Internet Explorer 10 に影響するゼロデイ脆弱性の悪用の可能性が確認されたという報告について調査していることをお伝えしましたが、この新しいゼロデイ脆弱性「Microsoft Internet Explorer の解放後使用によるリモートコード実行の脆弱性」(CVE-2014-0322)を悪用する攻撃について詳細が判明しました。
図. IE 10 のゼロデイ脆弱性を悪用する水飲み場型攻撃
攻撃の手口
この水飲み場型攻撃で標的になったのは、vfw.org(海外戦争復員兵協会)の Web サイトです。攻撃の活動中にこのサイトにアクセスすると、攻撃者によって挿入された iframe により、危殆化した第 2 のページ(aliststatus.com でホストされています)がバックグラウンドで読み込まれます。iframe である img.html ファイルが tope.swf という悪質な Flash ファイルを読み込み、そこで Internet Explorer 10 の脆弱性が悪用されます。シマンテックは、悪質な iframe を Trojan.Malscript として、また悪質な SWF ファイルを Trojan.Swifi として検出します。
SWF ファイルによって脆弱性が悪用されると、aliststatus.com ドメインから次のダウンロードが実行され、ペイロードの最終段階が開始されます。ここで最初にダウンロードされるのは、erido.jpg という名前の PNG 画像ファイルです(Trojan Horse として検出されます)。この画像ファイルに埋め込まれている複数のバイナリが、SWF ファイルによって実行されるシェルコードによって抽出されます。埋め込まれているバイナリは sqlrenew.txt と stream.exe です。sqlrenew.txt は、その名前とは違い実際には DLL ファイルであり、同じく Trojan Horse として検出されます。stream.exe は Backdoor.Winnti.C として検出されます。
SWF ファイルに含まれるコードが DLL ファイル sqlrenew.txt の読み込みを実行し、この時点で DLL が処理を引き継いで、最終的なペイロードである stream.exe を起動します。このサンプルは、攻撃者が制御する newss.effers.com サーバーへの接続を実行します。
過去の攻撃との関連性
調査を進める過程で明らかになったデータから、今回の攻撃は、シマンテックが Hidden Lynx(謎の山猫)と呼んでいる悪質なグループと関係することが示唆されます。Backdoor.Moudoor を使ったこのグループによる以前の攻撃で確認されたインフラが今回も使われていることが、データに示されています。
今回の攻撃に対する防止策と緩和策
Internet Explorer 10 を使っていないユーザーや、Mac OS 向けのブラウザを使っているユーザーは、この脆弱性の影響を受けません。Windows で Internet Explorer 10 を使っている場合には、別のブラウザを使うか、Microsoft の Enhanced Mitigation Toolkit(EMET)をインストールする、またはブラウザを新しいバージョンにアップグレードするなどの緩和策が考えられます。また、関連するパッチが公開され次第、速やかに適用することもお勧めします。
シマンテック製品をお使いのお客様は、以下の検出定義によってこの攻撃から保護されています。
ウイルス対策
侵入防止シグネチャ
シマンテックの遠隔測定によると、ペイロードの一部は以下のヒューリスティック検出定義によって各段階で検出されていることも判明しています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
In an earlier blog, Symantec highlighted that we were investigating reports of a zero-day exploit affecting Internet Explorer 10 in the wild. Now we have further details on the attack leveraging this new zero-day, Microsoft Internet Explorer CVE-2014-0…
シマンテックは現在、Internet Explorer 10 に影響するゼロデイ脆弱性の悪用の可能性が確認されたという報告について調査しています。これは、米国の Web サイトに侵入し、それをホストとして利用した「水飲み場型」攻撃のようです。無警戒なユーザーが水飲み場型攻撃の Web サイトにアクセスすると、ゼロデイ攻撃がホストされている別の侵入先の Web サイトにリダイレクトされます。
シマンテックはこのゼロデイ脆弱性の可能性について、攻撃経路や関連するサンプルの解析を続けています。初期の解析によって、Adobe Flash の悪質な SWF ファイルに、32 ビット版の Windows 7 と Internet Explorer 10 を標的にしていると思われるシェルコードが含まれていることがわかりました。被害者のデスクトップのスクリーンショットを撮り、攻撃者が被害者のコンピュータを制御できるようになるバックドアも特定されています。シマンテックはこのファイルを Backdoor.Trojan として検出します。
また、今回の水飲み場型攻撃に対して以下の IPS 定義も提供しています。
シマンテックセキュリティレスポンスは現在、この問題について Microsoft 社と連携しており、保護対策の更新を予定しています。引き続き、このブログで情報更新をご確認ください。
更新: 2014 年 2 月 14 日
このゼロデイ攻撃の可能性に関連するファイルについて新しい情報があります。
危殆化した Web サイトにインジェクトされた iframe によって読み込まれる悪質な .html ページは、Trojan.Malscript として検出されます。この悪質な .html ページは、リモートサイトから PNG ファイルをダウンロードする Flash ファイル (Trojan.Swifi として検出されます) を実行します。PNG ファイルを開くと、無害そうに見えるソフトウェアのロゴが表示されますが、実際には暗号化された 2 つのファイルが画像ファイルの末尾に添付されています。そのうちの 1 つは DLL ファイルで、その唯一の目的は、最初に説明したペイロードであるもう一方のファイルを実行することです。この DLL は Trojan Horse として検出され、ペイロードの検出名は Backdoor.Trojan から Backdoor.Winnti.B に変更されています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Symantec is currently investigating reports of a potential zero-day exploit affecting Internet Explorer 10 in the wild. This appears to be a watering hole attack that was hosted on a compromised website in the United States. The watering hole attack website redirected unsuspecting users to another compromised website that hosted the zero-day attack.
We continue to analyze the attack vector and associated samples for this potential zero-day. Our initial analysis reveals that the Adobe Flash malicious SWF file contains shell code that appears to be targeting 32-bit versions of Windows 7 and Internet Explorer 10. We have identified a back door being used in this attack that takes screenshots of the victim’s desktop and allows the attacker to take control of the victim’s computer. We identify and detect this file as Backdoor.Trojan.
Symantec also has the following IPS coverage for this watering hole attack:
Symantec Security Response is currently working with Microsoft on this issue and will continue to update our protections. Please monitor our Security Response blog for further developments.
11 月 11 日、Microsoft 社は新しいゼロデイ脆弱性「Microsoft Internet Explorer に存在する未解決の情報漏えいの脆弱性」(CVE-2013-3918)に関するブログを公開しました。これは Internet Explorer の ActiveX コントロールに影響する脆弱性で、11 月 8 日に情報が公開されたばかりです。同ブログによると、これは 11月 12日火曜日午前 10:00 頃(太平洋時間)に Windows Update を通じて MS13-090 として公開されたセキュリティ情報で対処が予定されている脆弱性でした。シマンテックは Microsoft Active Protections Program(MAPP)に参加しているため、この脆弱性については確認済みであり、シマンテック製品をお使いのお客様に対して以下の保護対策を提供しています。
ウイルス対策:
Bloodhound.Exploit.519
侵入防止システム(IPS):
Web Attack: Internet Explorer CVE-2013-3918
シマンテックは、このゼロデイ脆弱性が水飲み場型攻撃に悪用されているという公開情報に基づいて、Hidden Lynx(謎の山猫)と呼ばれるグループとの関連性を突きとめることができました。このグループについては、これまでにもブログやホワイトペーパーで詳細をお伝えしています。シマンテックの調査と解析により、今回の攻撃は Hidden Lynx グループとコマンド & コントロールサーバー(IP アドレス 111.68.9.93)を共有しており、公開情報で指摘されたサンプルも、Hidden Lynx グループによって使われている Trojan.Naid の亜種であることが判明しています。以下の解説画像は、多くの被害をもたらしている Hidden Lynx グループについて重要な情報をまとめたものです。
シマンテックは、最善の保護対策を提供できるように、この攻撃の調査を続ける予定です。いつものように、最新のソフトウェアパッチを適用してシステムを最新の状態に保つことをお勧めします。また、このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、シマンテックのコンシューマ向けまたはエンタープライズ向けの最新ソリューションを導入してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
On November 11, Microsoft published a blog post about a new zero-day Microsoft Internet Explorer Unspecified Information Disclosure Vulnerability (BID 63629/CVE-2013-3918) affecting an Internet Explorer Active X Control, that had been publically disclo…
Microsoft は 2013 年 10 月の月例パッチを公開し、一部の標的型攻撃で活発に悪用されている「緊急」レベルの 2 つの脆弱性に対応する MS13-080 をリリースしました。Internet Explorer に存在する 1 つ目の「緊急」の脆弱性は、「Microsoft Internet Explorer のメモリ破損の脆弱性(CVE-2013-3893)」で、これについては先日のシマンテックブログでお伝えしました。
Internet Explorer に存在する 2 つ目の「緊急」の脆弱性は、「Microsoft Internet Explorer のメモリ破損の脆弱性(CVE-2013-3897)」です。Microsoft はブログ記事の中で、これが CDisplayPointer における解放後使用の脆弱性であると述べ、onpropertychange というイベントハンドラによって実行される過程を説明しています。同ブログによると、JavaScript のヒープスプレーを使って、アドレス 0x14141414 付近に小さい ROP チェーンが割り当てられるということです。被害が確認されたエクスプロイトは、韓国語または日本語圏のユーザーを対象に、Windows XP 上の Internet Explorer 8 のみを標的にするよう設計されていました。シマンテック製品をお使いのお客様については、この攻撃に対して以下の保護対策がすでに実施されています。
シマンテックの遠隔測定によると、CVE-2013-3897 を悪用する攻撃が始まったのは 2013 年 9 月 11 日前後です。また、エクスプロイトをホストしているサイトにユーザーをリダイレクトする際、韓国の人気ブログサイトの Web ページが利用されていることから、主な対象は韓国のユーザーであることも判明しています。
シマンテックは、最善の保護対策を提供できるように、現在もこの攻撃の調査を続けています。いつものように、最新のソフトウェアパッチを適用してシステムを最新の状態に保つことをお勧めします。また、このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、コンシューマ向けのノートン製品や、エンタープライズ向けソリューションのそれぞれ最新版を導入してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。