Tag Archives: zero-day vulnerability

Adobe Patches Exploited Flash Player Vulnerability

Adobe has published a Security Bulletin for the Adobe Flash Player CVE-2014-0515 Buffer Overflow Vulnerability (CVE-2014-0515). The new Security Bulletin, APSB14-13, identifies a buffer overflow vulnerability that affects various ve…

Microsoft Word ????????????????

      No Comments on Microsoft Word ????????????????

Microsoft 社は 3 月 25 日、Microsoft Word に影響するパッチ未公開の脆弱性が新たに見つかったというセキュリティアドバイザリを公開しました。攻撃者は、Microsoft Word に存在するメモリ破損の脆弱性(CVE-2014-1761)を悪用して、標的となるコンピュータにリモートでアクセスできるようになります。アドバイザリでは、この脆弱性は限定的な標的型攻撃で悪用されていたと報告されています。

不明な RTF 文書を開かないように注意するだけでなく、このようなファイルを Outlook でプレビューすることも避けてください。攻撃者にこの脆弱性を悪用される恐れがあります。Outlook の一部のバージョンでは、電子メールに添付されている RTF 文書のデフォルトビューアが Microsoft Word に設定されていることに注意してください。

まだパッチは公開されていませんが、悪用のリスクを最小限に抑えるためにいくつかの回避策があります。Microsoft 社は、Microsoft Word で RTF コンテンツを開けないようにする Fix it 修正ソリューションを提供しています。また、Outlook で電子メール表示をプレーンテキストに限定するように設定して、この問題の影響を軽減することもできます。

Microsoft 社は、Enhanced Mitigation Experience Toolkit(EMET)を使えばこの悪用を適切に遮断できるとしていますが、これは他の回避策を適用できない場合の代替策と考えてください。

Microsoft 社からパッチが公開されたら、できるだけ速やかに適用することをお勧めします。

シマンテックセキュリティレスポンスは、CVE-2014-1761 の悪用からお客様を保護するために、以下の検出定義を提供しています。

ウイルス対策

侵入防止システム

シマンテックは現在、追加の確認に取り組んでおり、詳しいことがわかり次第このブログでお伝えする予定です。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Zero-Day Vulnerability Discovered in Microsoft Word

Microsoft posted a security advisory today for a newly discovered, unpatched vulnerability affecting Microsoft Word. An attacker could take advantage of the Microsoft Word Remote Memory Corruption Vulnerability (CVE-2014-1761) to gain remote access to …

????????????????????? IE ?????????????

Microsoft 社は、今週火曜日の月例パッチにおいて、非常に緊急性の高かった、Internet Explorer 9 と 10 に影響するゼロデイ脆弱性に対処するセキュリティ更新プログラムを公開しました。「Microsoft Internet Explorer の解放後使用によるリモートコード実行の脆弱性」(CVE-2014-0322)は、当初は標的型攻撃に悪用されていましたが、その後サイバー犯罪者の間で広く利用されるようになった結果、今では一般のインターネットユーザーにも影響しています。
 
今月の月例パッチでは、すでに悪用が確認されている「Microsoft Internet Explorer のメモリ破損の脆弱性」(CVE-2014-0324)についても対処されました。シマンテックの調査によると、CVE-2014-0324 を悪用する対象は Internet Explorer 8 です。シマンテックがこの悪用を確認したのは 2 月中旬のことで、限定的な標的型攻撃を実行する水飲み場型攻撃に使われたものと思われます。
 
悪用コードは、脆弱性を利用するために特別に細工された Web ページに実装されていました。悪用に成功すると、侵入先の Web サイトの特定の URL からペイロードがダウンロードされます。ただし、解析の時点ではダウンロードファイルを入手できていなかったため、このペイロードの詳細はまだ判明していません。シマンテックのテスト環境では、この悪用コードによってデータ実行防止(DEP)が作動します。DEP とは、実行を許可されていないメモリページからコードが実行されるのを防止しようとするセキュリティ機能です。つまり、DEP が有効であれば、この悪用コードによって脆弱性が利用されることはありません。
 
今回確認された悪用コードは、微妙に相違点はあるものの、昨年の秋に「Microsoft Internet Explorer のメモリ破損の脆弱性」(CVE-2013-3897)を狙った悪用コードと類似しています。
 
シマンテック製品をお使いのお客様は、この脆弱性を悪用する攻撃から保護されています。シマンテック製品は、以下のシグネチャでこの悪用コードを遮断します。
 
ウイルス対策
 
侵入防止シグネチャ
 
シマンテックは、CVE-2014-0324 の悪用に備えて引き続き監視を続けていますが、同じ月に攻撃が疑われたのは 1 件だけでした。ある特定の組織または個人を標的として悪用されただけだと思われます。この悪用の影響を受ける恐れがある場合には、速やかにパッチを適用してください。また、セキュリティ製品を常に最新の状態に保つこともお勧めします。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Attackers Targeting the Other IE Zero-day Vulnerability Covered on Microsoft Patch Tuesday

On Tuesday, Microsoft released its security updates for Microsoft Patch Tuesday, which included the much needed update to address a zero-day vulnerability affecting Internet Explorer 9 and 10. The exploit for the Microsoft Internet Explorer Use-After-Free Remote Code Execution Vulnerability (CVE-2014-0322) was originally used in targeted attacks, but it caught on among average cybercriminals. As a result, the exploit currently affects Internet users in general.
 
In this month’s Patch Tuesday, Microsoft covered another Internet Explorer zero-day vulnerability, which is being exploited in the wild. This flaw is known as the Microsoft Internet Explorer Memory Corruption Vulnerability (CVE-2014-0324). According to our investigation, the exploit for CVE-2014-0324 takes advantage of Internet Explorer 8. Symantec confirmed the exploit in the middle of February, which we believe was used in a watering hole campaign in order to carry out limited targeted attacks.
 
The exploit code was implemented in a specially crafted Web page that takes advantage of the vulnerability. If the vulnerability is exploited, a payload is then downloaded from a specific URL on a compromised website. We were, however, unable to acquire the downloaded file at the time of analysis, so we cannot elaborate on the details of the payload. In our testing environment, the exploit triggers Data Execution Prevention (DEP), which is a security feature that attempts to prevent the execution of code from Web pages of memory that are not allowed to run. This means that if DEP is enabled, it will stop the exploit from taking advantage of the flaw. 
 
The confirmed exploit appears to be similar to the exploit used against the Microsoft Internet Explorer Memory Corruption Vulnerability (CVE-2013-3897) in attacks last fall, though there are some minor differences between the two.
 
Symantec customers are protected against attacks exploiting this vulnerability. Our products block the exploit with the following signatures.
 
AV
 
IPS
 
Symantec has continued to monitor the threat landscape for further exploits of CVE-2014-0324, but we have only spotted one other possible attack in the same month. We believe that the exploit is only being used to target specific organizations or individuals. For those who may be affected by the exploit, we urge you to apply the patch immediately. We also encourage everyone to always keep their security products up to date.

New Zero-day Vulnerability Used in Operation Hangover Attacks

On November 5, Microsoft issued an advisory and a blog post to report a new zero-day vulnerability in the Microsoft Graphics component that affects Windows, Microsoft Office and Microsoft Lync: the Multiple Microsoft Products Remote Code Execution Vulnerability (CVE-2013-3906). The advisory states that the vulnerability exists in the way that certain components handle specially crafted TIFF images, potentially allowing an attacker to remotely execute code on the affected computer. 
 
While Microsoft has yet to release a patch for this vulnerability, it has provided a temporary “Fix It” tool as a workaround until a security update is made available. To ensure that Symantec customers are protected from attacks using this zero-day vulnerability, the following protection is being released:
 
Antivirus
  • Trojan.Hantiff
  • Bloodhound.Exploit.525
 
Intrusion Prevention System
  • Web Attack: Microsoft Office RCE CVE-2013-3906_2
 
The Microsoft blog post states that this vulnerability is being actively exploited in targeted attacks using crafted Word documents sent in emails. Symantec’s research into the exploitation of this zero-day flaw in the wild has shown that our Symantec.Cloud service preemptively blocks emails sent as part of this attack. Here are some examples of the email subject headings and the attached files’ names seen in the attack:
 
File name: Details_Letter of Credit.doc
Email subject: Illegal Authorization for Funds Transfer
 
File name: Missing MT103 Confirmation.docx
Email subject: Problem with Credit September 26th 2013
 
File name: Illegality_Supply details.docx
Email subject: Illegal Authorization for Funds Transfer
 
After analyzing the payloads being used in this attack, we have identified that the targeted emails are part of an attack campaign known as Operation Hangover, which we covered back in May 2013 in the blog post: Operation Hangover: Q&A on Attacks. At that time, the group behind these attacks was known to have used multiple vulnerabilities, but was not known to have used any zero-day flaws in the attacks. As predicted in our previous blog post, the exposure of Operation Hangover would not adversely affect the activities of the group orchestrating the campaign, which can be clearly seen now with these latest activities involving the zero-day vulnerability. 
 
Symantec has protection in place for the threats used in this latest wave of the Operation Hangover campaign as Trojan.Mdropper, Downloader and Infostealer. To allow customers to identify this attack, we are mapping the latest components of the Operation Hangover campaign to Trojan.Smackdown.B and Trojan.Hangove.B. 
 
Symantec will continue to investigate this attack to ensure that the best possible protection is in place. As always, we recommend that users keep their systems up-to-date with the latest software patches and refrain from opening any suspicious emails. We also advise customers to use the latest Symantec technologies and incorporate the latest Symantec consumer and enterprise solutions to best protect against attacks of this kind.

?????????????????????? Internet Explorer ???????????

Microsoft は 2013 年 10 月の月例パッチを公開し、一部の標的型攻撃で活発に悪用されている「緊急」レベルの 2 つの脆弱性に対応する MS13-080 をリリースしました。Internet Explorer に存在する 1 つ目の「緊急」の脆弱性は、「Microsoft Internet Explorer のメモリ破損の脆弱性(CVE-2013-3893)」で、これについては先日のシマンテックブログでお伝えしました。

 

Internet Explorer に存在する 2 つ目の「緊急」の脆弱性は、「Microsoft Internet Explorer のメモリ破損の脆弱性(CVE-2013-3897)」です。Microsoft はブログ記事の中で、これが CDisplayPointer における解放後使用の脆弱性であると述べ、onpropertychange というイベントハンドラによって実行される過程を説明しています。同ブログによると、JavaScript のヒープスプレーを使って、アドレス 0x14141414 付近に小さい ROP チェーンが割り当てられるということです。被害が確認されたエクスプロイトは、韓国語または日本語圏のユーザーを対象に、Windows XP 上の Internet Explorer 8 のみを標的にするよう設計されていました。シマンテック製品をお使いのお客様については、この攻撃に対して以下の保護対策がすでに実施されています。

 
ウイルス対策
 
侵入防止システム
 

シマンテックの遠隔測定によると、CVE-2013-3897 を悪用する攻撃が始まったのは 2013 年 9 月 11 日前後です。また、エクスプロイトをホストしているサイトにユーザーをリダイレクトする際、韓国の人気ブログサイトの Web ページが利用されていることから、主な対象は韓国のユーザーであることも判明しています。

 

シマンテックは、最善の保護対策を提供できるように、現在もこの攻撃の調査を続けています。いつものように、最新のソフトウェアパッチを適用してシステムを最新の状態に保つことをお勧めします。また、このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、コンシューマ向けのノートン製品や、エンタープライズ向けソリューションのそれぞれ最新版を導入してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

 

New Internet Explorer Zero-day Targeted in Attacks against Korea and Japan

In Microsoft’s Patch Tuesday for October 2013, the company released MS13-080 to address two critical vulnerabilities that have been actively exploited in limited targeted attacks. The first critical vulnerability in Internet Explorer, the Microso…

??????????? Internet Explorer ???????????

      No Comments on ??????????? Internet Explorer ???????????

9 月 17 日、Microsoft 社は Internet Explorer の新しいゼロデイ脆弱性「Microsoft Internet Explorer のメモリ破損の脆弱性」(CVE-2013-3893)に関するセキュリティアドバイザリを公開しました。アドバイザリによると、この脆弱性によってメモリが破損する場合があり、攻撃者はそれを悪用して任意のコードを実行できる可能性があります。この攻撃は、脆弱性を利用して特別に細工した Web サイトにアクセスするようユーザーを誘うことによって実行されます。Microsoft 社によれば、現時点でこの脆弱性の悪用が確認されているのは少数の標的型攻撃に限られるということです。

Microsoft 社はこの脆弱性に対するパッチをまだリリースしていませんが、セキュリティ更新プログラムが利用可能になるまでの回避策として、一時的な「Fix It」ツールを提供しています。シマンテックは、製品をお使いのお客様を Internet Explorer のこのゼロデイ脆弱性から保護するために、以下の保護対策を提供しています。

ウイルス対策

侵入防止システム

シマンテックは、最善の保護対策を提供できるように、この攻撃の調査を続ける予定です。いつものように、最新のソフトウェアパッチを適用してシステムを最新の状態に保ち、疑わしい電子メールは開かないようにすることをお勧めします。また、このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、シマンテックのコンシューマ向けまたはエンタープライズ向けの最新ソリューションを導入してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

New Internet Explorer Zero-day Found in Targeted Attacks

On September 17, Microsoft issued an advisory reporting a new zero-day vulnerability in Internet Explorer: Microsoft Internet Explorer Memory Corruption Vulnerability (CVE-2013-3893). The advisory states that the vulnerability may corrupt memory in a way that could allow attackers to execute arbitrary code. The attack works by enticing users to visit specially crafted websites that host the vulnerability through Internet Explorer. Microsoft also states that at this time the vulnerability is known to be exploited in only a limited number of targeted attacks.

While Microsoft is yet to release a patch for this vulnerability, they have provided a temporary “Fix It” tool solution as a workaround until a security update is made available. To ensure Symantec customers are protected against this Internet Explorer zero-day, the following protection has been put in place:

Antivirus
Bloodhound.Exploit.513

Intrusion Prevention System
Web Attack: Microsoft Internet Explorer CVE-2013-3893
Web Attack: MSIE Memory Corruption CVE-2013-3893 3

Symantec will continue to investigate this attack to ensure the best possible protection is in place. As always, we recommend that users keep their systems up-to-date with the latest software patches and refrain from opening any suspicious emails. We also advise customers to use the latest Symantec technologies and incorporate the latest Symantec consumer and enterprise solutions to best protect against attacks of this kind.