Video Screencast Help
Security Response

CVE-2012-1875 を悪用する脅威 - パート 2(Internet Explorer を狙う手口)

Created: 20 Jun 2012 10:06:30 GMT • Translations available: English
Karthikeyan Kasiviswanathan's picture
0 0 Votes
Login to vote

 

この調査にご協力いただいた Parveen Vashishtha 氏に感謝します。
 
今月のマイクロソフト月例パッチには、特に注目しておく必要があります。クライアント側の 2 つの脆弱性が広く悪用されていることが確認されているからです。今回のブログでは、そのうち、Microsoft Internet Explorerの Same ID プロパティに存在するリモートコード実行の脆弱性(CVE-2012-1875)を取り上げます。これは、今月の月例パッチが公開された第 2 火曜日より前から、さかんに悪用されていました。
 
この脆弱性は、インジェクトされた複数の iframe を使ってさまざまなサイトから悪用されていたことが判明しています。これらの iframe によって、意識されないまま無防備なユーザーに対して悪用が実行されます。図 1 は、正規の Web サイトにインジェクトされた iframe の例です。
 
 
 
図 1. インジェクトされた iframe
 
 
複数の iframe をインジェクトする意図は、フェイルオーバーメカニズムを確保することにあるようです。こうしておくと、いずれかのドメインが停止したり除染されたりしても、悪用の実行を続けられます。
 
Exploit.html ページには、不明瞭化された JavaScript が含まれており、その中で SWF ファイルが指定されています(図 2)。この JavaScript には 2 つの関数呼び出しがあり、そのソースが SWF ファイルの内部にあります。JavaScript コードと SWF ファイルの組み合わせで、悪用が実行されるのです。
 
図 2. Exploit.html に含まれる不明瞭化された JavaScript
 
 
Exploit.html の内部にある SWF ファイルと JavaScript の関係を示したのが、図 3 です。
 
 
図 3. SWF と JavaScript コードの関係
 
 
SWF ファイルには、メモリに対するヒープスプレーと、シェルコードの設定を行う機能もあります。ヒープスプレーは、オペレーティングシステムのバージョンに基づいて実行されます。この場合は Windows 7 と Windows XP ですが、実行されるのは Internet Explorer 8 から要求があった場合だけです。SWF ファイルの内部コードの一部を図 4 に示します。
 
 
図 4. SWF コードの抜粋
 
 
脆弱性が悪用されてシェルコードが実行されると、さらに別のマルウェアをダウンロードする要求が送信され、それが後で実行されます。
 
シマンテック製品をお使いのお客様はこれらの攻撃から保護されていますので、ご安心ください。シマンテックのウイルス対策製品は、投下されたマルウェアを Trojan.Naid として検出し、IPS はこの攻撃を Web Attack: MSIE Same ID Property CVE-2012-1875 というシグネチャで遮断します。ソフトウェアパッチを更新し、セキュリティ対策ソフトウェアの定義を最新の状態に保つようにしてください。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。