Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

Java の新しいゼロデイ脆弱性(CVE-2012-4681)

Created: 29 Aug 2012 05:46:38 GMT • Translations available: English
Symantec Security Response's picture
0 0 Votes
Login to vote

8 月 26 日、FireEye 社は、Java のゼロデイ脆弱性(CVE-2012-4681)による被害が確認されており、初めて標的型攻撃に使われた模様であると発表しました。シマンテックが確認したところ、攻撃者はこのゼロデイ脆弱性を少なくとも 8 月 22 日から悪用していました。マルウェアの供給に利用されていたのは、危殆化した 2 つの Web サイトです。

  • ok.XXXX.net/meeting/applet.jar
  • 62.152.104.XXX/public/meeting/applet.jar

この悪用によってダウンロードされるマルウェアのひとつは、4a55bf1448262bf71707eef7fc168f7d(Trojan.Dropper)として特定されています。確認されたファイル名は以下のとおりです。

  • hi.exe
  • Flash_update.exe

特定されたサンプルは、hello.icon.pk というドメインに接続し、これは 223.25.233.244 に解決されます。

今回見つかった Java の悪用を、シマンテックは Java.Awetook として検出します。権限昇格の脆弱性が悪用されており、これは、システムクラスのうち、保護されていて本来はアクセスが許可されていないメンバーにアクセスできるクラスに原因があります。このために、悪質なコードはサンドボックスによる制限をすり抜けて "getRuntime().exec()" 関数を実行し、悪質なペイロードを実行できるようになります。シマンテックのテストで、このゼロデイ脆弱性は最新バージョンの Java(JRE 1.7)に対して機能し、古いバージョンである JRE 1.6 には影響しないことが確認されました。この悪用の概念実証は公開されており、脆弱性は Metasploit にもすでに追加されています。

今回の悪用は、次の IPS シグネチャで検出されます。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。