Tag Archives: Microsoft Office

Operation Hangover ???????????????????

      No Comments on Operation Hangover ???????????????????
11 月 5 日、Microsoft 社は Microsoft Graphics コンポーネントに存在する新しいゼロデイ脆弱性「複数の Microsoft 製品のリモートコード実行の脆弱性」(CVE-2013-3906)に関するセキュリティアドバイザリブログを公開しました。この脆弱性の影響を受けるのは、Windows、Microsoft Office、Microsoft Lync です。アドバイザリによると、この脆弱性は特別に細工された TIFF 画像を特定のコンポーネントが処理する方法に存在し、影響を受けるコンピュータ上で攻撃者がリモートでコードを実行できる可能性があります。
 
Microsoft 社はこの脆弱性に対するパッチをまだリリースしていませんが、セキュリティ更新プログラムが利用可能になるまでの回避策として、一時的な「Fix It」ツールを提供しています。シマンテックは、このゼロデイ脆弱性を使った攻撃から、製品をお使いのお客様を保護するために、以下の保護対策を提供しています。
 
ウイルス対策
 
侵入防止システム
  • Web Attack: Microsoft Office RCE CVE-2013-3906_2
 
Microsoft 社のブログによると、この脆弱性は、細工された Word 文書を電子メールに添付して送信する標的型攻撃で活発に悪用されています。シマンテックがこのゼロデイ脆弱性の悪用を調査したところ、この攻撃の過程で送信される電子メールは、Symantec.Cloud サービスによって事前に遮断されることを確認しました。この攻撃で確認されている電子メールの件名と添付ファイル名の例を以下に示します。
 
ファイル名: Details_Letter of Credit.doc
電子メールの件名: Illegal Authorization for Funds Transfer(口座振替の不正な承認について)
 
ファイル名: Missing MT103 Confirmation.docx
電子メールの件名: Problem with Credit September 26th 2013(2013 年 9 月 26 日に発生したクレジットカードのトラブルについて)
 
ファイル名: Illegality_Supply details.docx
電子メールの件名: Illegal Authorization for Funds Transfer(口座振替の不正な承認について)
 
この攻撃で使われているペイロードを解析した結果、標的型の電子メールは、Operation Hangover として知られる攻撃活動でも使われていたことが確認されました。Operation Hangover については今年 5 月のブログ「Operation Hangover の攻撃に関する Q&A」でお伝えしています。このときの攻撃に関与していたグループは複数の脆弱性を悪用していましたが、ゼロデイ脆弱性を悪用していることは確認されていませんでした。前回のブログでは、Operation Hangover の実態が解明されても、攻撃に関与しているグループの活動が鈍化することはないだろうと予測しましたが、ゼロデイ脆弱性も悪用する今回の攻撃で、それがはっきり裏付けられたことになります。
 
シマンテックは、Operation Hangover から続く今回の攻撃に使われている脅威の検出定義を、Trojan.MdropperDownloaderInfostealer として提供しています。お客様がこの攻撃を識別しやすいように、Operation Hangover 攻撃の最新コンポーネントは、Trojan.Smackdown.B および Trojan.Hangove.B に対応付けています。
 
シマンテックは、最善の保護対策を提供できるように、この攻撃の調査を続ける予定です。いつものように、最新のソフトウェアパッチを適用してシステムを最新の状態に保ち、疑わしい電子メールは開かないようにすることをお勧めします。また、このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、シマンテックのコンシューマ向けまたはエンタープライズ向けの最新ソリューションを導入してください。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Microsoft Office ???? CVE-2013-1331 ??????

脆弱性が発見されてから悪用が出現するまでの時間は、ますます短くなっています。ときには、数時間ということさえあります。そのため、IT マネージャは実働システムへのパッチ適用を急がされ、品質保証に必要な設定管理やベストプラクティスに抵触してしまいます。新しいパッチや更新を常にリリースし続けることに四苦八苦している企業も少なくありません。

今月の第 2 火曜日、2013 年 6 月 11 日に、Microsoft 社は多くの脆弱性を対象とするセキュリティ情報(MS13-051)を公開しました。報告によると、その脆弱性のひとつが標的型攻撃に悪用されています。攻撃者は、スピア型フィッシング攻撃の一環として、特別に細工した添付ファイルを送信してこの脆弱性を悪用できてしまいます。

Microsoft Office の PNG ファイルに存在するバッファオーバーフローの脆弱性(CVE-2013-1331)、すなわち Microsoft Office に存在するリモートスタックベースのバッファオーバーフローの脆弱性によって、リモートでコードが実行されます。これは、Microsoft Office 2011 for Mac と、全 Windows プラットフォーム向けの Microsoft Office 2003 に影響することが確認されています。

シマンテックは現在、この脆弱性に対して以下の検出定義を用意しています。

ウイルス対策定義

侵入防止シグネチャ

  • Web Attack: Microsoft Office CVE-2013-1331 2
  • System Infected: Trojan Backdoor Activity 12

シマンテックは保護対策を強化するために、この脅威を継続的に監視し、対応ができしだい、該当の更新を提供する予定です。ウイルス定義対策を定期的に更新し、以下の Microsoft 製品の最新パッチをインストールすることをお勧めします。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Microsoft Office CVE-2013-1331 Coverage

The time between discovery of a vulnerability and the emergence of an exploit keeps getting shorter—sometimes a matter of only hours. This increases pressure on IT managers to rapidly patch production systems in conflict with configuration manage…