マイクロソフト、IE に存在する脆弱性に対応する定例外セキュリティ情報を公開

マイクロソフトは、2012年9月21日(米国時間)、定例外セキュリティ情報「MS12-063」を公開しました。この更新プログラムは、Internet Explorer(IE)のバージョン 6、7、8 および 9に影響を及ぼす脆弱性を修正します。最も深刻な脆弱性が利用された場合は、任意のコードが実行されることとなります。問題の脆弱性は、いくつかの攻撃に利用され、「Remote Access Tool(RAT)」に誘導されることが報告されています。今回、本記事では、問題の脆弱性を解析した詳細情報をお伝えします。

「解放後使用の脆弱性」は、削除されたオブジェクトが参照された場合に発生します。例えば、ページ全体を書き換えるために、メソッド「execCommand」を介して配列されたイベントが未処理である間に関数「document.write()」を呼び出すことによって、発生します。メソッド「execCommand」が呼び出されると、オブジェクト「CmshtmlEd」が作成されます。しかしそのオブジェクトが削除されると、IEは、オブジェクト「CmshtmlEd」を解放します。その後、「mshtml!CMshtmlEd::Exec()」は、解放された「CmshtmlEd」が有効であるかどうかを確認すること無く、このオブジェクトにアクセスしようとします。これにより、「解放後使用の脆弱性」が引き起こるのです。

トレンドマイクロで確認した検体では、メソッド「execCommand」は、「selectAll」というアクションで呼び出されます。また同時に、この検体は、オブジェクトが選択されると実行される他のアクションがあります。このアクションは、ページ全体を複数の文字列で書き換え、強制的に IE をBody オブジェクトに解放するというものです。オブジェクトが削除された後、メソッド「execComamnd」は、脆弱性につながるこれらのオブジェクトを用いようします。さらに flash オブジェクトは、操作されたデータでヒープスプレイするために利用され、この脆弱性利用の流れを変更します。

■今回のゼロディ脆弱性について
問題の脆弱性を利用するエクスプロイトは、トレンドマイクロでは「HTML_EXPDROP.II」として検出され、複数の攻撃で用いられていることが確認されています。1つの事例においては、「HTML_EXPDROP.II」は、実行されると、「SWF_DROPPR.II」を作成します。「SWF_DROPPR.II」は、「BKDR_POISON.BMN」として検出される「PoisonIvy」の亜種を作成します。また、感染コンピュータ上で不正なファイルを実行する、「TROJ_PLUGX.ME」に誘導する他の攻撃事例において、「TROJ_PLUGX.ME」は、「PlugX」と呼ばれる「remote access tool (RAT)」の亜種であり、詳細は以下のブログで取り上げられています。

  • セキュリティブログ:
    ・標的型攻撃用に特注されたRAT「PlugX」と「PoisonIvy」の緊密な関係が明らかに
      /archives/5973
  • ユーザは、マイクロソフトが公開した最新の更新プログラムを直ちに適用し、コンピュータを更新することをお勧めします。また、トレンドマイクロ製品をご利用のユーザは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」により、この脅威から保護されています。特に「ファイルレピュテーション」技術は、エクスプロイトや他の不正なファイルを検出します。また、「Webレピュテーション」技術により、不正なサーバへのアクセスをブロックします。さらに、トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」をご利用のお客様は、以下のフィルタを適用することにより、本脆弱性を利用した攻撃を検出、回避します。

  • 1005194 – Microsoft Internet Explorer ‘execCommand’ Use-After-Free Vulnerability
  • そして「ウイルスバスター クラウド」の「ブラウザガード」機能が、この脆弱性を利用する攻撃からユーザのコンピュータを保護します。

    【更新情報】

    2012/09/26 19:00

    トレンドマイクロでは、今回問題となった脆弱性を突く攻撃を継続して確認していることからも、この脆弱性を利用する攻撃者を阻むものがない様相を呈しています。特に、この脆弱性を突くエクスプロイトコードを組み込まれた改ざんWebサイトを複数確認しています。こうした改ざんされたWebサイトを誤って閲覧したユーザは、コンピュータ上にPlugXの亜種がダウンロードされることとなります。

    改ざんされたWebサイトが発端となる感染フローの一部は、以下のとおりとなります。

    改ざんされた Webサイト 脆弱性を利用する不正プログラム 不正な SWFファイル 不正活動を担う不正プログラム
    everich2.<省略>ft.tw.rar HTML_EKSPLOYT.AE
    HTML_EXPDROP.II
    SWF_DROPPR.II BKDR_PLUGX.AQ
    get.<省略>ks.com.rar HTML_EXPDROP.II SWF_DROPPR.II BKDR_PLUGX.AR
    www.<省略>enews.in.rar HTML_EKSPLOYT.AE
    HTML_EXPDROP.II
    SWF_DROPPR.II BKDR_PLUGX.AP
    www.<省略>in.com.tw.rar HTML_EKSPLOYT.AE
    HTML_EXPDROP.II
    SWF_DROPPR.II BKDR_PLUGX.AQ
    www.<省略>gameshow.com HTML_EXPDROP.SMA
    HTML_EXPDROP.SMB
    SWF_DROPPR.II BKDR_PLUGX.AT

    こうした状況の中、ユーザおよび企業のIT管理者は、直ちにMicrosoftから公開された定例外セキュリティ情報の更新プログラムを適用することが必須となります。トレンドマイクロでは、上述のとおり、各製品によりこの脅威から保護されています。

    参考記事:

  • Microsoft Releases Out-of-Cycle Patch for IE
     by Pawan Kinger (Vulnerability Research Manager)
  •  翻訳:宮越 ちひろ(Core Technology Marketing, TrendLabs)