Microsoft は、2013年9月10日(米国時間)、9月の定例セキュリティ情報を公開しましたが、それから間もない 1週間後の 9月17日、同社は、Internet Explorer(IE)に存在する未修正の脆弱性「CVE-2013-3893」を確認したことを受け、Microsoft Fix it ソリューション「CVE-2013-3893 MSHTML Shim の回避策」を緊急リリースしました。また、このゼロデイ脆弱性は、特定の標的型攻撃で実際に利用されていることを確認したことにも言及しています。
Microsoft のセキュリティアドバイザリによると、問題のエクスプロイトコードは、IE の HTMLレンダリングエンジン “mshtml.dll” に存在する解放後使用(User After Free)によるメモリ破壊の脆弱性を利用します。また、このエクスプロイトは、完全に JavaScript で実装されていますが、攻撃者は Java や Flash、VBScript なども用いることができます。しかし、この不正なコードは、Microsoft Office の DLL である “hxds.dll” に依存しますが、このDLLファイルは、脆弱性を利用した不正コードの実行を困難にさせるための機能「Address Space Layout Randomization(アドレス空間レイアウトのランダム化、ASLR)」が有効な状態でコンパイルされていません。このエクスプロイトコードは、メモリ上ですでに使用されているアドレスに実行コードを提供します。これにより、このDLLファイルが IE に読み込まれ、ASLR が回避されてしまうことになります。
このゼロデイ脆弱性は、リモートでコードが実行される脆弱性で、この攻撃が成功するとメモリ破損を引き起こします。これにより、攻撃者は、ログインしているユーザとして任意のコードを実行することが可能となります。この攻撃を実現するためには、攻撃者は、このゼロデイ脆弱性を利用するエクスプロイトコードが組み込まれた Webサイトをユーザが閲覧するように、フィッシング攻撃やスパムメール攻撃、ソーシャル・ネットワーキング・サービスなどを利用して誘導する必要があります。Microsoft の「セキュリティ アドバイザリ(2887505)」によると、IE 6 から 11 まですべてのバージョンが今回のゼロデイ脆弱性の影響を受けると説明しています。
トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」および「Trend Micro 脆弱性対策オプション(ウイルスバスター コーポレートエディション プラグイン製品)」をご利用のお客様は、以下のフィルタを適用することにより、問題のゼロデイ脆弱性を利用した攻撃から保護されます。
- 1005689 – Microsoft Internet Explorer Memory Corruption Vulnerability (CVE-2013-3893)
ユーザは、Microsoft が暫定的な対策として公開した回避策「Fix It」をただちに適用することを推奨します。また、安全性が確認されていないリンクや Webサイトを閲覧することを避け、身元不明な送信者からのメッセージを開封しないといった回避策も推奨します。
問題のゼロデイ脆弱性を利用する脅威に関して、新たな情報が入り次第、本ブログなどで随時お知らせします。
参考記事:
by Pavan Thorat (Vulnerability Research)
翻訳:船越 麻衣子(Core Technology Marketing, TrendLabs)