Endpoint Protection

寄稿: Lionel Payet

先日、Eric Romang 氏が Microsoft Internet Explorer の画像配列に存在するリモートコード実行の脆弱性についてブログ記事を公開しました。これは、Internet Explorer のゼロデイ脆弱性と考えられており、すでに悪用されています。シマンテックは、この脆弱性が Internet Explorer バージョン 7、8、9 に影響を及ぼすことを確認しています。この脆弱性について、Microsoft 社はまだ公式の声明を発表していません。

この脆弱性の悪用は、次の 4 つのコンポーネントで構成されています。

• Exploit.html が、悪用を設定する入り口として機能します。脆弱性について必要な条件を設定した後で、Moh2010.swf を起動します。
  • シマンテックは、この段階の脅威を Bloodhound.Exploit.474 として検出します。
     
• Moh2010.swf（Flash ファイル）が、ペイロードが実行されるメモリ領域に対してヒープスプレーを実行します。ペイロードを設定した後で、脆弱性を引き起こす Protect.html を IFRAME ウィンドウで開いて起動します。
  • シマンテックは、この段階の脅威を Trojan.Swifi として検出します。
     
• Protect.html が、実際に脆弱性を引き起こします。Moh2010.swf によって設定された悪質なペイロードを実行する役割を担います。
  • シマンテックは、この段階の脅威についても Bloodhound.Exploit.474 として検出します。
     
• ペイロードが、侵入先のシステムに追加の悪質な実行可能ファイルをダウンロードして実行します。
  • シマンテックは、この実行可能ファイルを Trojan.Dropper および Backdoor.Darkmoon として検出します。
     

興味深いことに、この悪用は Nitro 攻撃で使われているのと同じサーバーでホストされていました。

いつものことですが、基本的なセキュリティ対策（ベストプラクティス）に従って、ソフトウェアの最新パッチがインストールされていることを確認してください。また、最新のシマンテック製品とウイルス定義をお使いいただくことで、これらの脅威から保護することができます。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。