Internet Explorer 7の脆弱性(MS09-002)への攻撃を確認(HTML_DLOADER.AS)

 リージョナルトレンドラボでは、Windows Internet Explorer 7に存在する初期化されていないメモリの破損の脆弱性(セキュリティホール:MS09-002/CVE-2009-0075)を衝く不正プログラムが流通していることを確認しました。既に日本国内のお客様からも検体提供いただいております。トレンドマイクロではこの不正プログラムを「HTML_DLOADER.AS」としてウイルスパターンファイル 5.834.01(2009年2月12日公開)から検出対応しています。

攻撃タイプ ベンダ発表(発表日:2009/2/11) 脆弱性情報
会社名 識別番号 情報のタイトル CVE(JVN) 深刻度
受動 マイクロソフト株式会社 961260 MS09-002[緊急]:Internet Explorer 用の累積的なセキュリティ更新プログラム CVE-2009-0075 N/A
トレンドマイクロ製品による脆弱性緩和策
  ソリューション バージョン 検出名、検出別名(2009/2/17時点)
ウイルスパターンファイル 5.834.01 HTML_DLOADER.AS
Exploit-XMLhttpd.d(McAfee)
Exploit:JS/Mult.BF(Microsoft)
Mal/JSShell-B(Sophos)
JS.Downloader(Symantec)

 今回の攻撃は日本国内の一部組織団体より被害報告を受けているものであり、現時点で広域に広がっている事例ではありません。よって標的型(ターゲット)攻撃に分類される脅威レベルと言えます。トレンドマイクロでは、既知の脆弱性を悪用した攻撃であり、他の攻撃事例への転用が比較的容易であることを留意し、広く一般に情報を公開いたします。

 悪用されている脆弱性(MS09-002/CVE-2009-0075)は2009年2月の月例更新でセキュリティ更新プログラムが発表された新しい脅威です。Microsoft社の発表する「Exploitability Index (悪用可能性指標)」によれば「1 – 安定した悪用コードの可能性」とその危険性は当初から指摘されています。しかしながら、組織においては広範囲の事前検証を必要とブラウザに対する修正となるため、いまだ適用に至っていないコンピュータも数多く存在すると推測されます。

 なお、Microsoft社はMS09-002が影響を及ぼすのはWindows Internet Explorer 7のみであり、他のサポートバージョンであるMicrosoft Internet Explorer 5およびMicrosoft Internet Explorer 6には影響を及ぼさないと発表しています。このため、対策を必要とする製品の利用に至っていないコンピュータも多いと推測されます。

 次の画像は「HTML_DLOADER.AS」コードの抜粋です。スクリプト型ウイルスに多くみられるJavaScrip標準APIを用いた難読化が行われていることが確認できます。攻撃者は難読化を行うことで、セキュリティ対策製品のジェネリック検出機能による検出の回避を狙っていると推測されます。

図1 「HTML_DLOADER.AS」コードの抜粋)
図1 「HTML_DLOADER.AS」コードの抜粋

 攻撃に対して脆弱なコンピュータである場合、バックドア型ウイルス「BKDR_AGENT.XZMS」であるDLLファイルがインストールされます。バックドアはポート443(HTTPS)通信により情報漏洩活動が行われます。

 近年の傾向を振り返ると、安定利用可能な受動型の脆弱性は、不正プログラムを強制的にインストールさせる攻撃ツールに、新機能として実装が行われているケースが数多く報告されています。また、こうした攻撃ツールの一部には正規のウェブサイトを改ざんし、不正なコードを埋め込む機能を実装するものも流通しています。

 こうした攻撃者の思惑を断ち切り、安全な環境を手に入れるためにも、セキュリティ更新プログラムの早期適用の検討を行うことを推奨します。

 

【訂正と追記】

2009/02/19 00:42 McAfee、Microsoft、Symantecの検出別名を追加いたしました。