”Mozilla Firefox” および ”Microsoft Internet Explorer” のセキュリティホールを利用するゼロデイ攻撃を確認


TrendLabs | Malware Blog

More Zero-Day Exploits for Firefox and IE Flaws」より
Jul 21, 2009 Jovi Umawing

 トレンドラボのシニア・ウイルス解析者 Joseph Reyes は、“Mozilla Firefox” および “Microsoft Internet Explorer(ActiveXコントロール)”のセキュリティホールを利用する不正スクリプトを確認しました。トレンドマイクロではこれら不正スクリプトをウイルスとして、以下のように警告を行っています。

ウイルス名

概要

JS_DIREKTSHO.B

このウイルスは”Microsoft Video ActiveX コントロールの脆弱性により、リモートでコードが実行される(972890):CVE-2008-0015”のセキュリティホールを利用し、ほかのウイルスをダウンロードします。

JS_FOXFIR.A

このウイルスは、Webサイトにアクセスし、「JS_SHELLCODE.BV」をダウンロードします。また、”Mozilla Firefox バージョン3.5” のセキュリティホール「Mozilla Foundation Security Advisory 2009-41:Mozilla Firefox の JavaScript エンジン(Tracemonkey コンポーネント)に任意のコードが実行される脆弱性:CVE-2009-2477」を利用し、「WORM_KILLAV.AKN」をダウンロードします。

JS_SHELLCODE.BV

このウイルスは、「JS_FOXFIR.A」のコンポーネントです。ウイルスは、エクスプロイトコード(セキュリティホールの存在を実証するためのプログラム)を含み、Webサイトにアクセスして、「WORM_KILLAV.AKN」をダウンロードします。

JS_SHELLCODE.BU

このウイルスは、リモートサイトにアクセスして、「JS_SHELLCODE.BV」をダウンロードします。また、”Microsoft Office Web コンポーネントの脆弱性により、リモートでコードが実行される(973472):CVE-2009-1136” のセキュリティホールを利用します。


 この攻撃を解析したJessa De La Torre によれば、利用者が該当ブラウザのいずれかを用いて悪意あるWebサイト、または、これらウイルスが組み込まれたWebサイトを閲覧すると、上記のウイルスが自動的にダウンロードされ、コンピュータに侵入します。

Mozilla Firefox

 Mozilla Firefox の利用者からは、アプリケーションのクラッシュが報告されています。デベロッパーによれば、このクラッシュがメモリー破壊を招き、攻撃者により利用される恐れがあるということです。「escape()」などのネイティブ関数から戻り値が得られた後、特定の場合において、ジャストインタイム (JIT) コンパイラが破損した状態に陥る場合があります。攻撃者は、この状態を利用して、不正プログラムをインストールするコード等を実行することができます。

 なお、Mozilla Firefox 3.5より古いバージョンは、JIT機能に対応していないので、このセキュリティホールの影響を受ける恐れはありません。

 「Mozilla Security Blog:Critical JavaScript vulnerability in Firefox 3.5」の紹介のとおり、Mozilla Firefox バージョン3.5の利用者は、JITコンパイラを無効にする(訳注:about:config インターフェースを使用して、javascript.options.jit.content と javascript.options.jit.chrome を false に設定)ことにより、このセキュリティホール利用の攻撃を回避できます。Mozilla Firefox バージョン 3.5.1の利用者は、このような作業を行う必要はありません。

Internet Explorer:ActiveXコントロール

 Mozilla Firefox と同様、Internet Explorer デベロッパーも利用者からの報告を受け、このブラウザのActiveXコントロールに存在する2つのセキュリティホールが攻撃に利用されていることを確認しました(訳注:今回、Internet Explorerに機能を追加しているActiveXコントロールにセキュリティホールが確認されています。Internet Explorerでは、Active Xコントロールを用いることで標準の状態では表示できないコンテンツをWebブラウザ上で直接表示させたりすることが可能となります)。

 Microsoft Video ActiveX コントロールのセキュリティホールが利用されると、利用者がInternet Explorerで不正Webページにアクセスし、ActiveX コントロールを実行した場合、リモートでコードが実行されます。ユーザ権限を制限されているアカウントを使用している利用者は、管理者権限を持つユーザに比べて、この攻撃の被害は小さくなります。

 多くの利用者は、自動更新機能、Windows Update サイト、および Microsoft Update サイトを有効にしているので、この攻撃を防ぐために特別な作業をする必要はありません。この攻撃に対応するセキュリティ更新プログラム(セキュリティパッチ)は、自動的にダウンロードされ、コンピュータにインストールされます。自動更新機能を有効にしていない利用者は、該当のセキュリティ更新プログラムを手動でインストールする必要があります。

 攻撃者がこの脆弱性を悪用した場合、ローカルのユーザと同じユーザ権限を取得する可能性があります。リモートでコードが実行されるため、利用者の操作を一切必要としない可能性があります。マイクロソフトは、この脆弱性を利用する攻撃を確認しており、 Webサイト「マイクロソフト セキュリティ アドバイザリ: Microsoft Office Web コンポーネント コントロールの脆弱性により、リモートでコードが実行される」に掲載されている解決方法を利用して、手動または自動でOWCが実行されないようにすることを勧めています。

 トレンドマイクロでは、以下のWebページにアクセスして、これらの不正スクリプトが利用するセキュリティホールを修正するためのアップデートまたは修正パッチをダウンロード、インストールすることをお勧めしています。

攻撃タイプ ベンダ発表(発表日:2009/07/07) 脆弱性情報
会社名 識別番号 情報のタイトル CVE(JVN) 深刻度
受動 マイクロソフト株式会社 972890 Microsoft Video ActiveX コントロールの脆弱性により、リモートでコードが実行される CVE-2008-0015
JVNTA09-187A
9.3(危険)

攻撃タイプ ベンダ発表(発表日:2009/07/13) 脆弱性情報
会社名 識別番号 情報のタイトル CVE(JVN) 深刻度
受動 マイクロソフト株式会社 973472 Microsoft Office Web コンポーネントの脆弱性により、リモートでコードが実行される CVE-2009-1136
JVNVU#545228
9.3(危険)

攻撃タイプ ベンダ発表(発表日:2009/07/16) 脆弱性情報
会社名 識別番号 情報のタイトル CVE(JVN) 深刻度
受動 Mozilla 2009-41 Corrupt JIT state after deep return from native function CVE-2009-2477
JVNVU#443060
6.9(警告)

 また、トレンドマイクロ製品ご利用の皆さまは、この攻撃を回避するために、最新の検索エンジンをダウンロードすることをお勧めします。

執筆者:
Jovi Umawing

Technical Communications Specialist
TrendLabs
Trend Micro Incorporated

 2003年にトレンドマイクロに入社。現在、トレンドラボにてマルウェア解析情報、コアテクノロジー関連のマーケティングコンテンツ作成に従事。