Adobe Flash Playerに存在するゼロデイ脆弱性を確認

Adobeは、2013年2月7日(米国時間)、毎月のセキュリティ更新公開より数日予定を早めて、2つの深刻なゼロデイ脆弱性に対応する定例外のセキュリティアップデートを公開しました。Flash Player に存在するバッファオーバフローを引き起こす脆弱性「CVE-2013-0633」は、利用されると、リモートからのコード実行または「サービス拒否(DoS)」攻撃を引き起こす恐れがあります。すでに悪用されていることが確認されているこの脆弱性は、Flash Player の ActiveXバージョンを悪用して Windows のシステムを狙います。こうした攻撃においては、Microsoft の文書ファイル内に埋め込まれた不正な Flashファイル(拡張子SWF)によりユーザは欺かれることなります。

既に悪用されているもう一方の脆弱性は、「CVE-2013-0634」で、リモートによるメモリ破損を行うものです。この「CVE-2013-0634」が利用されると、リモートからのコード実行またはアプリケーションのクラッシュが引き起こされることになります。Adobe のアドバイザリによると、これら 2つの脆弱性は、特別に細工された SWFファイルを添付ファイルとして送信すること、または、URL をクリックするように促すことにより悪用されています。トレンドマイクロでは、これら脆弱性を悪用するエクスプロイトコードを「TROJ_MDROP.REF」として検出します。この不正プログラムが実行されると、バックドア型不正プログラム「BKDR_PLUGAX.A」を作成します。そしてこのバックドア型不正プログラムは、コンピュータ名やホスト名、OS のバージョンなどといったさまざまな情報を収集する機能を備えています。また、プラグインをダウンロードして読み込み、不正な Webサイトと情報の送受信を行います。こうして、感染端末のセキュリティを侵害して乗っ取ります。なお、影響のある Adobe製品のバージョンは、以下のとおりとなります。

  • Windows版および Mac版の Adobe Flash Player 11.5.502.146 およびそれ以前のバージョン
  • Linux版の Adobe Flash Player 11.2.202.261 およびそれ以前のバージョン
  • Android 4.x 対応の Adobe Flash Player 11.1.115.36 およびそれ以前のバージョン
  • Android 3.x および 2.x対応の Adobe Flash Player 11.1.111.31 およびそれ以前のバージョン
  • トレンドマイクロでは、ちょうど先月、「Blackhole Exploit Kit(BHEK)」や「Cool Exploit Kit(CEK)」といった攻撃ツールにより利用される Java に存在するゼロデイ脆弱性について報告しました。Oracle は、このゼロデイ脆弱性に対応する緊急修正プログラムを公開しました。ただし皮肉なことに、サイバー犯罪者は、この機会を見逃さず便乗して Java の修正プログラムに偽装した不正プログラムを作成したのです。

    トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」および「Trend Micro 侵入防御ファイアウォール(ウイルスバスター コーポレートエディション プラグイン製品)」をご利用のユーザは、以下の新たなフィルタを適用することにより、問題となった脆弱性を利用した攻撃から保護されています。

  • 1005360 – Adobe Flash Player Remote Memory Corruption Vulnerability (CVE-2013-0634)
  • 1005359 – Adobe Flash Player Heap Based Buffer Overflow Vulnerability (CVE-2013-0633)
  • また、これら製品を利用しているお客様は、既に公開済の以下のフィルタを適用して、SWFファイルが埋め込まれた Microsoft Excel または Word のファイルへのWeb経由でのアクセスを防ぐことを推奨します。

  • 1004647 – Restrict Microsoft Office File With Embedded SWF
  • 1005158 – Restrict Microsoft Office Files With Embedded SWF – 2
  • さらに、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の「ファイルレピュテーション」技術は、関連する不正なファイルを検出、削除することができます。

    参考記事:

  • Zero-Day Vulnerabilities Found in Adobe Flash Player
     by Pavithra Hanchagaiah (Senior Security Researcher)
  •  翻訳:船越 麻衣子(Core Technology Marketing, TrendLabs)

    【更新情報】

    2013/02/14 17:30 「TROJ_MDROP.REF」は、不正な Flash ファイルを含んでいます。この Flash ファイルは、「SWF_EXPLOIT.MC」として検出され、不正な DLL ファイル(「TROJ_DROPPER.YWO」および 64 bit 搭載の PC の場合「TROJ64_DROPPER.YWO」)を実行し、最終的な不正活動を行う「BKDR_PLUGAX.A」を作成します。