Adobe Flash Playerに存在するゼロデイ脆弱性、RAT「PlugX」に誘導

攻撃者は、Microsoft Windows や Adobe製品などの主要なソフトウェアに存在する脆弱性を利用し続けています。Adobe は、2014年2月20日(現地時間)、Adobe Flash Player に存在する 3つの重大な脆弱性に対応した定例外のセキュリティ情報「APSB14-07」を公開しました。このセキュリティアップデートでは、Flash Player が抱える以下の脆弱性の問題を解決します。

  • スタックバッファオーバーフローの脆弱性「CVE-2014-0498」:
    この脆弱性の利用により、攻撃者は不特定の経路から任意のコードを実行できます。
  • 「out-of-bounds read(領域外のメモリ参照)」を引き起こす脆弱性「CVE-2014-0499」:
    この脆弱性を利用することにより、アドレス情報へのアクセスが阻止できなくなります。そのため、攻撃者は、脆弱性を利用した不正コードの実行を困難にさせるための機能「Address Space Layout Randomization(アドレス空間レイアウトのランダム化、ASLR)」といった既存の脆弱性対策技術を回避しやすくなります。攻撃が成功すると、情報漏えいにつながります。
  • 使用済のメモリ領域をシステムに返す「Double free vulnerability(二重解放の脆弱性)」である「CVE-2014-0502」:
    メモリ破損を引き起こす脆弱性です。この脆弱性を利用すると、攻撃者は遠隔で任意のコードを実行することが可能になります。Adobe は、この脆弱性がセキュリティアップデート公開以前に実際の攻撃に利用されていた、つまりゼロデイ攻撃が発生していたことを確認しています。報道によると、いくつかの改ざんされた Webサイトから、閲覧者は不正な Flashファイルが埋め込まれた不正なサーバに誘導されます。トレンドマイクロの解析によると、改ざんされた Webサイトからは不正な Flashファイル(拡張子SWF)が自動的にダウンロードされます(ドライブ・バイ・ダウンロード)。この不正な Flashファイルは、トレンドマイクロの製品では「SWF_EXPLOYT.LPE」として検出されます。この不正な Flashファイルはその後、「BKDR_PLUGX.NSC」として検出される「PlugX」の亜種をダウンロードします。「PlugX」は、侵入したシステム内で情報探索に利用される「Remote Access Tool(RAT)」です。

今回、影響を受けるプラットフォームは以下の通りです。

製品 更新後のバージョン プラットフォーム 優先度
Adobe Flash Player 12.0.0.70 Windows 1
12.0.0.70 Internet Explorer 10 for Windows 8.0 1
12.0.0.70 Internet Explorer 11 for Windows 8.1 1
12.0.0.70 Chrome for Windows and Linux 1
11.7.700.269 Windows 1
11.2.202.341 Linux 3

トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」および「Trend Micro 脆弱性対策オプション(ウイルスバスター コーポレートエディション プラグイン製品)」をご利用のお客様は、以下のフィルタを適用することにより、問題のゼロデイ脆弱性を利用した攻撃から保護されます。

  • 1005918 – Adobe Flash Player Stack-based Buffer Overflow Vulnerability(CVE-2014-0498)
  • 1005919 – Adobe Flash Player Out Of Bound Read Vulnerability(CVE-2014-0499)
  • 1005922 – Adobe Flash Player Remote Code Execution Vulnerability(CVE-2014-0502)

「トレンドマイクロ ディープセキュリティ」の他、「ウイルスバスター クラウド」もブラウザからの攻撃を回避し、「CVE-2014-0498」および「CVE-2014-0502」を利用した攻撃から保護します。「CVE-2014-0499」に関しては、最新バージョンに更新することをお勧めします。

トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「Webレピュテーション」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。そして、「ファイルレピュテーション」技術により、上述の不正プログラムを検出し、削除します。ユーザは、インストールされているソフトウェアを、常に最新のバージョンに更新しておくことをお勧めします。

※協力執筆者:Kai Yu

参考記事:

  • New Adobe Flash Player Zero-day Exploit Leads to PlugX
    by Pavithra Hanchagaiah (Senior Security Researcher)
  •  翻訳:品川 暁子(Core Technology Marketing, TrendLabs)