8 月 26 日、FireEye 社は、Java のゼロデイ脆弱性(CVE-2012-4681)による被害が確認されており、初めて標的型攻撃に使われた模様であると発表しました。シマンテックが確認したところ、攻撃者はこのゼロデイ脆弱性を少なくとも 8 月 22 日から悪用していました。マルウェアの供給に利用されていたのは、危殆化した 2 つの Web サイトです。
この悪用によってダウンロードされるマルウェアのひとつは、4a55bf1448262bf71707eef7fc168f7d(Trojan.Dropper)として特定されています。確認されたファイル名は以下のとおりです。
特定されたサンプルは、hello.icon.pk というドメインに接続し、これは 223.25.233.244 に解決されます。
今回見つかった Java の悪用を、シマンテックは Java.Awetook として検出します。権限昇格の脆弱性が悪用されており、これは、システムクラスのうち、保護されていて本来はアクセスが許可されていないメンバーにアクセスできるクラスに原因があります。このために、悪質なコードはサンドボックスによる制限をすり抜けて "getRuntime().exec()" 関数を実行し、悪質なペイロードを実行できるようになります。シマンテックのテストで、このゼロデイ脆弱性は最新バージョンの Java(JRE 1.7)に対して機能し、古いバージョンである JRE 1.6 には影響しないことが確認されました。この悪用の概念実証は公開されており、脆弱性は Metasploit にもすでに追加されています。
今回の悪用は、次の IPS シグネチャで検出されます。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。