ゼロデイ脆弱性を再び確認。次は “Adobe Reader”

2013年に1月初旬から引き続き確認されたゼロデイ脆弱性。「ゼロデイのシーズン」は当分終わりを迎えそうにないようです。そのことが、”Adobe Reader” の特定のバージョンに存在するゼロデイ脆弱性を狙う不正プログラム（エクスプロイト）が確認されたという報告から暗示されます。今回の事例は、2013年2月7日（米国時間）に報告された “Adobe Flash Player” に存在するゼロデイ脆弱性の事例に引き続きて起こりました。

「TrendLabs（トレンドラボ）」が入手した関連の検体から、このエクスプロイトコードは、PDF ファイルとして装い、「TROJ_PIDIEF.KGM」として検出されます。そして “Adobe Reader” のバージョン 9、10 および 11 に存在する未修正の脆弱性「CVE-2012-0640」および「CVE-2012-0641」を狙うように細工されています。この不正プログラムは、実行されると、無害なファイル “%User Temp%\Visaform Turkey.pdf” と共に「TROJ_INJECT.CPX」として検出される DLL ファイルを作成します。この無害なファイルが作成されるのは、この特別に細工された PDF ファイルが無害なものであるとユーザに思わせるためです。

また一方でトレンドラボが解析した「TROJ_PIDIEF.KGM」の検体では、64 bit 版のコンピュータ向けに設計された不正な DLL ファイル（「TROJ64_INECT.CPX」として検出）も作成することが確認されました。この脅威の背後に潜む人物は、セキュリティソフトのプログラムによる検出を回避するために、この64 bit 対応の不正プログラムを含めたと考えられます。

この問題に対応するため、Adobe は、修正プログラムに向けて取り組んでいます。そして修正用のアップデートを公開することを約束しています。今回の事例に関する進捗状況は、こちらを御覧ください。

Java、Internet Explorer（IE）、Adobe Flash Player、そして今回は Adobe Reader。2013年に入りたった2カ月で私たちは、攻撃者が自身の画策を遂行するためにゼロデイ脆弱性を利用するといったひときわ注目を引くような事例に遭遇してきました。特に Java は、この1月だけでもゼロデイ脆弱性に関わる複数の問題に見舞われました。そして残念なことにこの類の問題は、これが最後とはなりませんでした。攻撃者たちは、未修正の脆弱性を狙い、対象とする犠牲者やユーザをほぼ、もしくはまったく無防備な状態にするために、自身の画策にこのようなエクスプロイトを取り入れることで知られています。

例えば弊社が2月7日に公開した「2012年間セキュリティラウンドアップ：『ポストPC』時代に進化する脅威」の中では、Java 7 や IE に存在する複数のゼロデイ脆弱性で、「Blackhole Exploit Kit」のような広く蔓延している攻撃に取り込まれているものについて言及しました。また Adobe Reader は、IE や Adobe Acrobat、Java のようにプラグイン機能を備える他のアプリケーションと並んで、エクスプロイトキットによってもっとも利用されたアプリケーションの1つであったことがわかっています。

この攻撃を回避するために、ユーザは、よくわからない PDF ファイルや安全性が証明されていない送信元から入手したファイルを開くことは絶対に避けてください。

トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」は、今回の攻撃で利用されたエクスプロイトや関連する作成されたファイルを検出し、削除します。なお、トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security（トレンドマイクロ ディープセキュリティ）」および「Trend Micro 脆弱性対策オプション（ウイルスバスター コーポレートエディション プラグイン製品）」をご利用のお客様は、フィルタ「 1004133 – Heuristic Detection Of Malicious PDF Documents」を適用することにより、問題のゼロデイ脆弱性を利用した攻撃やここで取り上げられている不正なPDFファイルから保護されます。

私たちは、引き続き今回の事例に関する情報を更新していきます。

参考記事：

　翻訳：宮越 ちひろ（Core Technology Marketing, TrendLabs）

【更新情報】