Products
Applications
Support
Company
How To Buy
Skip to main content (Press Enter).
Sign in
Skip auxiliary navigation (Press Enter).
Register
Skip main navigation (Press Enter).
Toggle navigation
Search Options
Home
My Communities
Communities
All Communities
Enterprise Software
Mainframe Software
Symantec Enterprise
Blogs
All Blogs
Enterprise Software
Mainframe Software
Symantec Enterprise
Events
All Events
Enterprise Software
Mainframe Software
Symantec Enterprise
VMware
Water Cooler
Groups
Enterprise Software
Mainframe Software
Symantec Enterprise
Members
Endpoint Protection
View Only
Community Home
Threads
Library
Events
Members
Back to Library
CVE-2012-1875 を悪用する脅威 - パート 2(Internet Explorer を狙う手口)
0
Recommend
Jun 20, 2012 06:06 AM
Migration User
この調査にご協力いただいた Parveen Vashishtha 氏に感謝します。
今月のマイクロソフト月例パッチには、特に注目しておく必要があります。クライアント側の 2 つの脆弱性が広く悪用されていることが
確認されている
からです。今回のブログでは、そのうち、
Microsoft Internet Explorerの Same ID プロパティに存在するリモートコード実行の脆弱性
(CVE-2012-1875)を取り上げます。これは、今月の月例パッチが公開された第 2 火曜日より前から、さかんに悪用されていました。
この脆弱性は、インジェクトされた複数の iframe を使ってさまざまなサイトから悪用されていたことが判明しています。これらの iframe によって、意識されないまま無防備なユーザーに対して悪用が実行されます。図 1 は、正規の Web サイトにインジェクトされた iframe の例です。
図 1.
インジェクトされた iframe
複数の iframe をインジェクトする意図は、フェイルオーバーメカニズムを確保することにあるようです。こうしておくと、いずれかのドメインが停止したり除染されたりしても、悪用の実行を続けられます。
Exploit.html ページには、不明瞭化された JavaScript が含まれており、その中で SWF ファイルが指定されています(図 2)。この JavaScript には 2 つの関数呼び出しがあり、そのソースが SWF ファイルの内部にあります。JavaScript コードと SWF ファイルの組み合わせで、悪用が実行されるのです。
図 2.
Exploit.html に含まれる不明瞭化された JavaScript
Exploit.html の内部にある SWF ファイルと JavaScript の関係を示したのが、図 3 です。
図 3.
SWF と JavaScript コードの関係
SWF ファイルには、メモリに対するヒープスプレーと、シェルコードの設定を行う機能もあります。ヒープスプレーは、オペレーティングシステムのバージョンに基づいて実行されます。この場合は Windows 7 と Windows XP ですが、実行されるのは Internet Explorer 8 から要求があった場合だけです。SWF ファイルの内部コードの一部を図 4 に示します。
図 4.
SWF コードの抜粋
脆弱性が悪用されてシェルコードが実行されると、さらに別のマルウェアをダウンロードする要求が送信され、それが後で実行されます。
シマンテック製品をお使いのお客様はこれらの攻撃から保護されていますので、ご安心ください。シマンテックのウイルス対策製品は、投下されたマルウェアを
Trojan.Naid
として検出し、IPS はこの攻撃を
Web Attack: MSIE Same ID Property CVE-2012-1875
というシグネチャで遮断します。ソフトウェアパッチを更新し、セキュリティ対策ソフトウェアの定義を最新の状態に保つようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、
http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja
にアクセスしてください。
Statistics
0 Favorited
0 Views
0 Files
0 Shares
0 Downloads
Tags and Keywords
Related Entries and Links
No Related Resource entered.
Copyright 2019. All rights reserved.
Powered by Higher Logic