Products
Applications
Support
Company
How To Buy
Skip to main content (Press Enter).
Sign in
Skip auxiliary navigation (Press Enter).
Register
Skip main navigation (Press Enter).
Toggle navigation
Search Options
Home
My Communities
Communities
All Communities
Enterprise Software
Mainframe Software
Symantec Enterprise
Blogs
All Blogs
Enterprise Software
Mainframe Software
Symantec Enterprise
Events
All Events
Enterprise Software
Mainframe Software
Symantec Enterprise
VMware
Water Cooler
Groups
Enterprise Software
Mainframe Software
Symantec Enterprise
Members
Endpoint Protection
View Only
Community Home
Threads
Library
Events
Members
Back to Library
CVE-2012-1875 を悪用する脅威 - パート 1(Trojan.Naid)
0
Recommend
Jun 20, 2012 02:30 AM
A L Johnson
Microsoft は、先ごろ 2012 年 6 月のセキュリティ情報で、
MS12-037
に関する最新情報を公開しました。これは、バージョン 6 から 9 までの Internet Explorer(IE)のホストに関する緊急のセキュリティ更新プログラムです。この更新プログラムは、特別に細工された Web ページを IE で開くと悪用が引き起こされ、現在のユーザーのコンテキストで任意のコードの実行を許してしまうという脆弱性に対処するものです。
シマンテックは最近、アムネスティインターナショナル香港(Amnesty International Hong Kong)の Web サイトが、インジェクトされた iframe に侵害されたことを確認しました。この iframe はロシアのドメインにリンクしており、そこにホストされている JavaScript ファイルが
Microsoft Internet Explorer の Same ID プロパティに存在するリモートコード実行の脆弱性
(CVE-2012-1875)をさかんに悪用していました。アムネスティインターナショナルは先月、英国の Web サイトでも
同様の攻撃
を受けたところです。
シマンテックは、この悪用を
Bloodhound.Exploit.466
という定義と
Web Attack: MSIE Same ID Property CVE-2012-1875
という IPS シグネチャで検出します。
アムネスティインターナショナルの Web サイト(すでに修正対応済みです)を解析したところ、iframe をインジェクトする次のようなスクリプトが見つかりました。
この iframe は、ロシアのドメインにホストされている別の JavaScript にリンクしています。それと同時に、要求されたページが「Under Construction(作成中)」であることを示す汎用のエラーメッセージも表示しますが、そのページがロードされると MyTest() という関数が実行され、同じプロパティ ID を持つメモリ内のキャッシュオブジェクトを IE が処理する際の脆弱性を悪用しようとします。
この悪用自体は Windows XP、Windows Vista、Windows 7 の各バージョンと各国の言語を対象にしています。英語、ロシア語、韓国語、フランス語などがこれまでに確認されていますが、それは悪用されている一部にすぎません。
この悪用で実行されるシェルコードは、サイズの小さい
Downloader
であり、リモートホストに接続して実行可能ファイルをダウンロードします。このダウンロードファイルは、シマンテックが
Trojan.Naid
として検出するリモートアクセス型のトロイの木馬(RAT)ですが、シマンテックが初めて確認したのは 2010 年 1 月初めのことでした。
Trojan.Naid は、攻撃者からの接続を待機して受け入れるトロイの木馬プログラムで、カスタムの通信プロトコルを使って侵入先のコンピュータに対する不正なリモート制御を実行する機能を持っています。このアクセスによって攻撃者は、個人情報を盗み出したりインターネット上の活動を監視したり、さまざまの悪質な行為を実行できるようになります。一連の攻撃で使われた Trojan.Naid のサンプルは、香港でホストされている IP アドレスに、地元のインターネットサービスプロバイダから通信していたことが判明しています。
Microsoft の最新のセキュリティ情報よりも前に活動が報告されたことから、この攻撃で使われたのはゼロデイ脆弱性であると言われていますが、ゼロデイ脆弱性は攻撃で頻繁に確認されるものではありません。ほとんどの攻撃は、攻撃者がオンラインで利用できるパッチ公開済みの既知の脆弱性を悪用しています。しかし、
Microsoft XML コアサービスに存在するリモートコード実行の脆弱性
(CVE-2012-1889)(シマンテックでは
Bloodhound.Exploit.465
という定義と
Web Attack MSIE MSXML CVE-2012-1889
という IPS シグネチャで検出します)のように、ゼロデイ脆弱性は最近ほかにも報告されていることから、次のような疑問が浮かび上がります。「同様の攻撃でさらに新しいゼロデイ脆弱性が使われるのではないか」と。
このブログのパート 2 では、この脆弱性の悪用で使われているテクニックを詳しく説明する予定です。
脆弱性とそれを狙うマルウェアによる影響を受けにくくするために、シマンテックの最新の保護テクノロジをお使いいただき、最新のウイルス定義をインストールすることをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、
http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja
にアクセスしてください。
Statistics
0 Favorited
0 Views
0 Files
0 Shares
0 Downloads
Tags and Keywords
Related Entries and Links
No Related Resource entered.
Copyright 2019. All rights reserved.
Powered by Higher Logic