Video Screencast Help
Protect Your POS Environment Against Retail Data Breaches. Learn More.
Security Response

CVE-2012-1875 を悪用する脅威 - パート 1(Trojan.Naid)

Created: 20 Jun 2012 06:30:55 GMT • Translations available: English
Symantec Security Response's picture
0 0 Votes
Login to vote

 

Microsoft は、先ごろ 2012 年 6 月のセキュリティ情報で、MS12-037 に関する最新情報を公開しました。これは、バージョン 6 から 9 までの Internet Explorer(IE)のホストに関する緊急のセキュリティ更新プログラムです。この更新プログラムは、特別に細工された Web ページを IE で開くと悪用が引き起こされ、現在のユーザーのコンテキストで任意のコードの実行を許してしまうという脆弱性に対処するものです。
 
シマンテックは最近、アムネスティインターナショナル香港(Amnesty International Hong Kong)の Web サイトが、インジェクトされた iframe に侵害されたことを確認しました。この iframe はロシアのドメインにリンクしており、そこにホストされている JavaScript ファイルが Microsoft Internet Explorer の Same ID プロパティに存在するリモートコード実行の脆弱性(CVE-2012-1875)をさかんに悪用していました。アムネスティインターナショナルは先月、英国の Web サイトでも同様の攻撃を受けたところです。
 
シマンテックは、この悪用を Bloodhound.Exploit.466 という定義と Web Attack: MSIE Same ID Property CVE-2012-1875 という IPS シグネチャで検出します。
 
 
アムネスティインターナショナルの Web サイト(すでに修正対応済みです)を解析したところ、iframe をインジェクトする次のようなスクリプトが見つかりました。
 
 
この iframe は、ロシアのドメインにホストされている別の JavaScript にリンクしています。それと同時に、要求されたページが「Under Construction(作成中)」であることを示す汎用のエラーメッセージも表示しますが、そのページがロードされると MyTest() という関数が実行され、同じプロパティ ID を持つメモリ内のキャッシュオブジェクトを IE が処理する際の脆弱性を悪用しようとします。
 
この悪用自体は Windows XP、Windows Vista、Windows 7 の各バージョンと各国の言語を対象にしています。英語、ロシア語、韓国語、フランス語などがこれまでに確認されていますが、それは悪用されている一部にすぎません。
 
この悪用で実行されるシェルコードは、サイズの小さい Downloader であり、リモートホストに接続して実行可能ファイルをダウンロードします。このダウンロードファイルは、シマンテックが Trojan.Naid として検出するリモートアクセス型のトロイの木馬(RAT)ですが、シマンテックが初めて確認したのは 2010 年 1 月初めのことでした。
 
Trojan.Naid は、攻撃者からの接続を待機して受け入れるトロイの木馬プログラムで、カスタムの通信プロトコルを使って侵入先のコンピュータに対する不正なリモート制御を実行する機能を持っています。このアクセスによって攻撃者は、個人情報を盗み出したりインターネット上の活動を監視したり、さまざまの悪質な行為を実行できるようになります。一連の攻撃で使われた Trojan.Naid のサンプルは、香港でホストされている IP アドレスに、地元のインターネットサービスプロバイダから通信していたことが判明しています。
 
Microsoft の最新のセキュリティ情報よりも前に活動が報告されたことから、この攻撃で使われたのはゼロデイ脆弱性であると言われていますが、ゼロデイ脆弱性は攻撃で頻繁に確認されるものではありません。ほとんどの攻撃は、攻撃者がオンラインで利用できるパッチ公開済みの既知の脆弱性を悪用しています。しかし、Microsoft XML コアサービスに存在するリモートコード実行の脆弱性(CVE-2012-1889)(シマンテックでは Bloodhound.Exploit.465 という定義と Web Attack MSIE MSXML CVE-2012-1889 という IPS シグネチャで検出します)のように、ゼロデイ脆弱性は最近ほかにも報告されていることから、次のような疑問が浮かび上がります。「同様の攻撃でさらに新しいゼロデイ脆弱性が使われるのではないか」と。
 
このブログのパート 2 では、この脆弱性の悪用で使われているテクニックを詳しく説明する予定です。
 
脆弱性とそれを狙うマルウェアによる影響を受けにくくするために、シマンテックの最新の保護テクノロジをお使いいただき、最新のウイルス定義をインストールすることをお勧めします。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。