TrendLabs | Malware Blog
「New Adobe Zero-Day Exploit」より
Oct 09, 2009 JJ Reyes
トレンドマイクロのウイルス解析チームは、「Adobe Reader」および「Adobe Acrobat」の9.1.3およびそれ以前のバージョンに存在する脆弱性(CVE-2009-3459)を利用したゼロデイ攻撃を確認し、注意を促しています。このPDFファイルは、トレンドマイクロの製品では「TROJ_PIDIEF.UO」として検出され、不正なJavaScript(「JS_AGENTT.DT」として検出)が埋め込まれています。この不正なJavaScriptは、「Heap Spray」と呼ばれる手法を用いて任意のコードを実行します。さらに、この脆弱性が悪用される際に、JavaScriptを利用せずとも攻撃できる新型の亜種が作成される可能性もあります。
トレンドマイクロの分析によると、「Heap Spray」で利用されるシェルコードは、PDFファイル内の別のシェルコードを指定します。このシェルコードは、トレンドマイクロの製品では「BKDR_PROTUX.BD」として検出される不正なファイルを復号し、実行します。このバックドア型不正プログラムは、PDFファイル内に埋め込まれており、Webサイトからダウンロードされるわけではありません。「Protux」ファミリは、不正リモートユーザが感染コンピュータに無制限に接続できるようにする機能を備えています。バックドア型「Protux」の初期の亜種は、マイクロソフトのOfficeファイル内に存在する脆弱性を狙った過去の攻撃で利用されました。
 |
| 図1:「Heap Spray」で利用されるシェルコードは、PDFファイル内のまた別のシェルコードを指定する |
 |
| 図2指定されたシェルコードは、不正なファイル(「BKDR_PROTUX.BD」)の復号も実行 |
 |
| 図3:復号後、PDFファイルに埋め込まれた「BKDR_PROTUX.BD」が実行される |
2009年10月9日現在、アドビは、この脆弱性の修正パッチを次回のセキュリティアップデートで公開すると表明。それまでの間、ユーザは今回の攻撃をできるだけ回避するために、「Adobe Reader」および「Adobe Acrobat」のJavaScriptを無効にすることをお勧めします。手順については、下記の通りです。
|
手順:
|
アドビによる次回のセキュリティアップデートが公開され次第パッチすることを強くお勧めします。なお、Trend Micro Smart Protection Network(SPN)をご利用のお客様は、既にこの攻撃から守られています。
今回の攻撃で利用された脆弱性に関する詳細は、以下のWebサイトをご参照ください。
| 攻撃タイプ | ベンダ発表(発表日:2009/10/08) | 脆弱性情報 | |||
| 会社名 | 識別番号 | 情報のタイトル | CVE(JVN) | 深刻度 | |
| 受動 | アドビシステムズ株式会社 | APSB09-15 | Adobe ReaderおよびAcrobatの脆弱性により、リモートでコードが実行される | CVE-2009-3459 | 9.3(危険) |
翻訳: カストロ 麻衣子(Technical Communications Specialist, TrendLabs)
|