Endpoint Protection

Internet Explorer の新しいゼロデイ脆弱性の悪用を香港で確認 

08-20-2015 02:09 AM

IE zeroday hong kong 1.jpg

新しい Internet Explorer のゼロデイ脆弱性に対してパッチが公開されましたが、この脆弱性はすでに悪用され、香港の福音教会が所有する Web サイトが侵入を受けていました。シマンテックの遠隔測定により、侵入されたサイトにホストされていた悪用コードが明らかになっています。この悪用コードを利用して、サイトにアクセスしたユーザーが Korplug バックドア(シマンテックでは Backdoor.Korplug として検出されます)に感染していました。

攻撃者は、香港福音ルーテル教会の Web サイトに侵入し、悪質な iFrame をホストするように改変しました。この iFrame によって、訪問者は別の Web サイトにリダイレクトされ、そのサイトに Internet Explorer Microsoft Internet Explorer Remote Memory Corruption Vulnerability(Microsoft Internet Explorer に存在するリモートメモリ破損の脆弱性)(CVE-2015-2502)の悪用コードがホストされていました。この Web サイトの IP アドレスは 115.144.107.55 です。

この Web サイトには vvv.html というファイルがあり、それが a.js か b.js のいずれかのファイルにリダイレクトされます。そこから、被害者のコンピュータに java.html というファイルがダウンロードされる仕組みです。java.html によって Korplug がコンピュータにインストールされますが、これは c.exe という実行可能ファイルの形になっています。

IE zeroday hong kong 2.png
図 1. 侵入を受けた香港の Web サイトにホストされていた悪質な iFrame

Korplug(別名 PlugX)は、侵入先のコンピュータでバックドアを維持するトロイの木馬で、情報を盗み出す機能を持っています。Korplug については、以前にも何回かブログ記事でお伝えしたことがあります。Korplug は、過去 3 年間に主としてアジアで、幅広い攻撃に使われてきました。

150820_IE.png
図 2. Korplug の拡散につながったゼロデイ脆弱性

これは、「Microsoft セキュリティ情報 MS15-093」の一部として、Microsoft が昨日パッチを公開したばかりの脆弱性でした。この脆弱性を利用すると、特別に細工された Web ページをユーザーが Internet Explorer で表示したときリモートコードが実行される恐れがあります。攻撃者がこの脆弱性の悪用に成功すると、現在のユーザーと同じユーザー権限を取得できる可能性があります。Microsoft のセキュリティ更新を適用すれば、Internet Explorer がメモリ内のオブジェクトを処理する方法が修正され、この問題は解決します。

保護対策
シマンテック製品とノートン製品は、次の検出定義でこの脆弱性の悪用を防ぎます。

ウイルス対策

Intrusion Prevention System

The payload used in these attacks is detected as:

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

【参考訳】

Statistics
0 Favorited
0 Views
0 Files
0 Shares
0 Downloads

Tags and Keywords

Related Entries and Links

No Related Resource entered.