2 月 7 日、Adobe 社は 2 つのゼロデイ脆弱性(CVE-2013-0633、CVE-2013-0634)を修正する緊急パッチを公開しました。これは、Windows 版と Mac 版両方の Adobe Flash Player 11.5.502.146 およびそれ以前を対象としています。緊急パッチの公開は、これらのゼロデイ脆弱性が頻繁に攻撃に悪用されていることを受けてのもので、このパッチをただちに適用することをお勧めします。
CVE-2013-0633 の悪用が確認されている攻撃は、FireEye 社による初期の解析報告に従って「LadyBoyle」と呼ばれています。この解析で、悪用コードを含むことが確認されたクラスファイルに LadyBoyle という名前が付いているためです。シマンテックでも、この脅威が標的型攻撃で盛んに拡散されていたことを確認しています。図 1 は、標的型攻撃に使われた電子メールに、CVE-2013-0633 を含む Word 文書が添付されている例です。Symantec Mail Security for Microsoft Exchange はこの攻撃を 2 月 4 日に遮断しました。
図 1. 脅威を含む標的型電子メール
標的型攻撃を受けて被害者が添付文書を開いてしまうと、文書に含まれている Flash オブジェクトによってゼロデイ脆弱性(CVE-2013-0633)が実行されます。その過程を次の図 2 に示します。
図 2. CVE-2013-0633 を悪用する標的型攻撃
図 2 に示すとおり、シマンテックはこの攻撃の各段階をそれぞれ Trojan.Mdropper、Trojan.Swifi、Backdoor.Boda として検出します。Backdoor.Boda に感染したシステムは、iee.boeing.job.com(現在は停止しています)にホストされているコマンド & コントロール(C&C)サーバーにアクセスします。一方、Web サイトにホストされている悪質な Flash(SWF)コンテンツを通じて盛んに拡散されている CVE-2013-0634 に対しては、以下の侵入防止シグネチャ(IPS)を用意しています。
Web Attack: Adobe SWF RCE CVE-2013-0634 2
シマンテックは現在、このゼロデイ脆弱性に対する保護対策をさらに調査中であり、詳しいことがわかり次第このブログを更新する予定です。いつものように、オペレーティングシステムとソフトウェアが最新版であることを確認してください。また、疑わしいリンクをクリックしたり、怪しい添付ファイルを開いたりしないようお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。