■標的型攻撃において利用される Adobe Flash Player の脆弱性「CVE-2012-0779」
Adobe は、2012年5月5日、”Adobe Flash Player” の複数のバージョンに存在する脆弱性「CVE-2012-0779」を修正したと発表しましたが、米国のセキュリティ専門家が運営するセキュリティブログ「KrebsonSecuritya」では、この脆弱性を利用する標的型攻撃について報告。この標的型攻撃では、Eメールとしてコンピュータに侵入し、不正な添付ファイルの実行をユーザに促します。そして、この問題の添付ファイルが、この修正されたばかりの脆弱性を利用するのです。CVE-2012-0779 が利用されると、攻撃者によってそのコンピュータが乗っ取られる恐れがあります。
 |
|
|
「TrendLabs(トレンドラボ)」では、実在する組織から送られたように装う Wordファイル(拡張子DOC)を確認しました。この Wordファイルは、トレンドマイクロの製品では「TROJ_SCRIPBRID.A」として検出されます。「TROJ_SCRIPBRID.A」は実行されると、特定の URL へアクセスし、Adobe Flash で作成された再生用動画ファイル(拡張子SWF)をダウンロードします。この不正な SWFファイル(「SWF_LOADER.EHL」として検出)は、Flash Player に存在する脆弱性を利用して感染コンピュータ上にバックドア型不正プログラム「BKDR_INJECT.EVL」を作成します。「BKDR_INJECT.EVL」は、自身のコマンド&コントロール(C&C)サーバに接続し、不正リモートユーザからのコマンドを受信する機能を備えています。
脆弱性「CVE-2012-0779」は、Adobe Flash Player の Windows版や Macintosh版、Linux版、さらに Android OS版などにおける特定のバージョンに存在します。Adobe によると、この脆弱性は「object confusion vulnerability(オブジェクト混乱の脆弱性)」と説明しており、この脆弱性が利用されると、アプリケーションのクラッシュを引き起こす恐れがあります。また、攻撃者により感染コンピュータが制御される場合もあります。
Adobe は、本脆弱性を修正するために、最新版の Flash Player に更新することを推奨しています。一方、トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」および「Trend Micro 脆弱性対策オプション」をご利用のユーザは、フィルタ(1004995 – Oracle Database TNS Listener Poison Attack Vulnerability)を適用することにより、脆弱性「CVE-2012-0779」を利用した攻撃からコンピュータを守ることができます。この脆弱性おける詳細および解決方法は、以下の Adobe のページをご参照ください。
■「CVE-2012-0507」を利用する「Flashback」の亜種を確認
トレンドラボが先月に報告した脆弱性「CVE-2012-0507」も注意が必要です。この問題の脆弱性は、Mac ユーザを悩ませる「Flashback」による攻撃において頻繁に利用されています。トレンドマイクロでは、「OSX_FLASHBCK.AB」として検出され、この脆弱性が突かれると、攻撃者により任意のコードが実行されることとなります。
トレンドマイクロの脆弱性対策担当エンジニアの Sumit Soni の調査によると、この「CVE-2012-0507」は、Java Runtime Enviroment(JRE)に存在する脆弱性で、Java のセキュリティサンドボックスを構成するコンポーネントのバイトコード検証が発端となります。このコンポーネントは、プログラミング言語を意味論的に規定した「型の安全性(type safety)」を保護する役割を担っており、このコンポーネントの役割により、本来アクセスすべきでない不審なコードがメモリにアクセスするのを防ぐことが可能となり、すべてのリソースアクセスが本来のコードによるものとして保持されています。
つまり、この脆弱性は、AtomicReferenceArray クラスの実装時における type safety を利用するものだといえます。通常、この AtomicReferenceArray は、複数の異なった文字列によって同時更新が行なわれないようにする役割を担っています。しかし、今回の脆弱性により、その配列自体が正しい「Object[]」型であるかどうか確認することはできない状態となっています。不正な Javaアプリケーションやアプレットは、この不具合を利用して、Java Virtual Machine(JVM)を強制終了させたり、そのサンドボックスの制限を無視したりすることが可能となります。そして攻撃者は、この不具合を利用する際、まず一連のオブジェクトグラフをマニュアルで構成し、任意の配列を AtomicReferenceArray インスタンスに挿入します。こうして、「AtomicReferenceArray.set()」というメソッドを駆使し、この type safety を侵害するための任意の指示を書くことが可能となります。
この脆弱性を利用することで、攻撃者は、Javaアプレットが JVM におけるサンドボックスの制限を無視し、完全な実行権限を有することが可能となります。また、この脆弱性は、脆弱性を有した JRE のコード内における論理上の不具合を突くため、簡単に利用することもできます。こうして、この脆弱性は、広範囲に及ぶ各種ブラウザや、Windows、Linux、OSX、Solaris を含むプラットフォームなどに影響を及ぼすことになります。
トレンドマイクロ製品をご利用のユーザは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によりこの脅威から守られており、今回の事例に関連する不正なファイルを検出および削除します。また、トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」および「Trend Micro 脆弱性対策オプション」をご利用のユーザは、フィルタ(1004955 – Oracle Java SE Remote Java Runtime Environment Vulnerability (CVE-2012-0507) )を適用することにより、脆弱性「CVE-2012-0507」を利用した攻撃からコンピュータを守ることができます。
参考記事:
by Roland Dela Paz (Threat Response Engineer)
翻訳:宮越 ちひろ(Core Technology Marketing, TrendLabs)