IE に存在する新たなゼロデイ脆弱性を確認! 「PoisonIvy」に誘導

「TrendLabs(トレンドラボ)」では、2012年9月17日現在、Internet Explorer(IE)のバージョン 6、7、8 および 9に影響を及ぼすゼロデイ脆弱性 の解析を行なっています。「HTML_EXPDROP.II」として検出される問題のエクスプロイトは、「<省略>.<省略>.104.149」に組み込まれていることが確認されています。なお、この不正なサーバーは、8月30日に報告された Java に存在するゼロデイ脆弱性もホストしています。

トレンドラボによる現時点の解析結果によると、この脆弱性が利用されると、「HTML_EXPDROP.II」は、「SWF_DROPPR.II」として検出される不正な Shockwave Flash ファイル(拡張子 SWF)を読み込みます。そして「SWF_DROPPR.II」は、バックドア型不正プログラム(「BKDR_POISON.BMN」として検出)をダウンロードします。詳細は、随時本ブログで更新していきます。

トレンドマイクロの製品をご利用のユーザは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によりこの脅威から守られており、不正なサーバへのアクセスをブロックし、問題のエクスプロイトや不正なファイルを検出します。トレンドラボでは、さらに解析を行い、本ブログ上で更新情報をお知らせ致します。

【更新情報】

2012/09/19 20:00 トレンドラボでは、今回のゼロデイ脆弱性を利用した別の攻撃を確認。「TROJ_PLUGX.ME」は、「PlugX」と呼ばれる「Remote Access Tool(RAT)」の亜種であり、この攻撃における不正活動を担います。また、大きな被害をもたらす、情報収集機能やバックドア機能を備えていることが判明しており、高度な情報集活動を展開するためのコンポーネントとして利用されます。「PlugX」に関する情報および機能は、以下をご参照ください。

  • セキュリティブログ:
    ・標的型攻撃用に特注されたRAT「PlugX」と「PoisonIvy」の緊密な関係が明らかに
      /archives/5973
  • TrendLabs Malware Blog(英語):
    ・Unplugging PlugX Capabilities
      http://blog.trendmicro.com/unplugging-plugx-capabilities
  • トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の「ファイルレピュテーション」技術は、上述の不正なファイルを検出します。また、「Webレピュテーション」技術により、コマンド&コントロール(C&C)サーバへのアクセスをブロックします。さらに、トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」をご利用のお客様は、以下のフィルタを適用することにより、本脆弱性を利用した攻撃を検出、回避します。

  • 1005194 – Microsoft Internet Explorer ‘execCommand’ Use-After-Free Vulnerability
  • なお、マイクロソフトは、9月19日現在、数日以内に今回の脆弱性の利用を防ぐ対応策を公開する予定であると報告しています。それまでの間、以下の回避策を実施されることをお勧めします。

  • マイクロソフト セキュリティ アドバイザリ (2757760) Internet Explorer の脆弱性により、リモートでコードが実行される
  • 2012/09/20 14:00 マイクロソフトは、9月21日(米国時間)に、今回の脆弱性への対応策を公開する予定であると報告しています。

    また、一部以下のように変更しました。

    更新前:Internet Explorer(IE)のバージョン 7、8 および 9 など
    更新後:Internet Explorer(IE)のバージョン 6、7、8 および 9

    参考記事:

  • New IE Zero-Day Exploit Leads to PoisonIvy
     by Bernadette Irinco (Technical Communications)
  •  翻訳:宮越 ちひろ(Core Technology Marketing, TrendLabs)