Adobeは、2013年2月7日(米国時間)、毎月のセキュリティ更新公開より数日予定を早めて、2つの深刻なゼロデイ脆弱性に対応する定例外のセキュリティアップデートを公開しました。Flash Player に存在するバッファオーバフローを引き起こす脆弱性「CVE-2013-0633」は、利用されると、リモートからのコード実行または「サービス拒否(DoS)」攻撃を引き起こす恐れがあります。すでに悪用されていることが確認されているこの脆弱性は、Flash Player の ActiveXバージョンを悪用して Windows のシステムを狙います。こうした攻撃においては、Microsoft の文書ファイル内に埋め込まれた不正な Flashファイル(拡張子SWF)によりユーザは欺かれることなります。
既に悪用されているもう一方の脆弱性は、「CVE-2013-0634」で、リモートによるメモリ破損を行うものです。この「CVE-2013-0634」が利用されると、リモートからのコード実行またはアプリケーションのクラッシュが引き起こされることになります。Adobe のアドバイザリによると、これら 2つの脆弱性は、特別に細工された SWFファイルを添付ファイルとして送信すること、または、URL をクリックするように促すことにより悪用されています。トレンドマイクロでは、これら脆弱性を悪用するエクスプロイトコードを「TROJ_MDROP.REF」として検出します。この不正プログラムが実行されると、バックドア型不正プログラム「BKDR_PLUGAX.A」を作成します。そしてこのバックドア型不正プログラムは、コンピュータ名やホスト名、OS のバージョンなどといったさまざまな情報を収集する機能を備えています。また、プラグインをダウンロードして読み込み、不正な Webサイトと情報の送受信を行います。こうして、感染端末のセキュリティを侵害して乗っ取ります。なお、影響のある Adobe製品のバージョンは、以下のとおりとなります。
トレンドマイクロでは、ちょうど先月、「Blackhole Exploit Kit(BHEK)」や「Cool Exploit Kit(CEK)」といった攻撃ツールにより利用される Java に存在するゼロデイ脆弱性について報告しました。Oracle は、このゼロデイ脆弱性に対応する緊急修正プログラムを公開しました。ただし皮肉なことに、サイバー犯罪者は、この機会を見逃さず便乗して Java の修正プログラムに偽装した不正プログラムを作成したのです。
トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」および「Trend Micro 侵入防御ファイアウォール(ウイルスバスター コーポレートエディション プラグイン製品)」をご利用のユーザは、以下の新たなフィルタを適用することにより、問題となった脆弱性を利用した攻撃から保護されています。
また、これら製品を利用しているお客様は、既に公開済の以下のフィルタを適用して、SWFファイルが埋め込まれた Microsoft Excel または Word のファイルへのWeb経由でのアクセスを防ぐことを推奨します。
さらに、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の「ファイルレピュテーション」技術は、関連する不正なファイルを検出、削除することができます。
参考記事:
by Pavithra Hanchagaiah (Senior Security Researcher)
翻訳:船越 麻衣子(Core Technology Marketing, TrendLabs)
【更新情報】
| 2013/02/14 | 17:30 | 「TROJ_MDROP.REF」は、不正な Flash ファイルを含んでいます。この Flash ファイルは、「SWF_EXPLOIT.MC」として検出され、不正な DLL ファイル(「TROJ_DROPPER.YWO」および 64 bit 搭載の PC の場合「TROJ64_DROPPER.YWO」)を実行し、最終的な不正活動を行う「BKDR_PLUGAX.A」を作成します。 |