10月16日、ネオハプシス社(米 NEOHAPSIS)が運営するメーリング・リスト「Full-Disclosure」に対し、アドビシステムズ社のAdobe Acrobat / Reader 8.1の脆弱性を実証するコード(Proof of Conceptコード)情報が投稿されました。
TrendLabsでは、本実証コードに対する詳細分析を実施しています。その結果、実証コードであるPDFファイルを開くことにより、CALC.EXE(計算機)が自動実行されることを確認いたしました。
|
| 実証コードを含むPDFファイルをバイナリエディタで展開。「mailto:」オプションにCALC.EXEが指定されていることが確認できます。 |
今回、実証された脆弱性は9月20日にハッカー組織「GNUCITIZEN」によって報告されたものです。
リリース当初から、攻撃への悪用可能性が高いことが懸念されていました。リモートからPDFファイルを悪用することで、任意の実行ファイルを意のままに操作可能となることがその理由です。
アドビシステムズ社もこの脆弱性を認め、10月5日にアドバイザリ(* 注釈1)を公開しています。
共通脆弱性評価システムCVSSに基づけば、この脆弱性の深刻度は「6.8 (警告)」レベルにとどまっています。
しかしながら、今回実証コードが公開されたことにより、全体の評価値はさらに高まったいえます。
もとより転用の容易性が指摘されていた脆弱性ですが、実証コードの公開により転用のハードルはさらに低くなりました。
また、影響を受けうるシステムの範囲(Adobe Acrobat / Readerなどの導入率の高さ)がさらにこの脆弱性の深刻度を高めているといえます。
管理者が直ちに実施すべきことは、注意喚起です。
幸いなことに、コードを含むPDFファイルを開くことがなければ、この脆弱性を狙った攻撃を成立させることはできません。
天気予報を見て傘を持ち歩くように、ネットワーク脅威情報をうまく取り入れ、社内ネットワークに脅威の雨が降り注ぐ前に警戒しておくことをお勧めします。
注釈1. アドビシステムズ社、各セキュリティ団体が発表しているアドバイザリは次の通りです。
アドビシステムズ社:APSA07-04:Workaround available for vulnerability in versions 8.1 and earlier of Adobe Reader and Acrobat
IPA:JVNDB-2007-000743:Windows 環境下の Adobe Acrobat/Reader における任意のコードを実行される脆弱性
National Vulnerability Database (NVD) :CVE-2007-5020