Microsoft 社は、今週火曜日の月例パッチにおいて、非常に緊急性の高かった、Internet Explorer 9 と 10 に影響するゼロデイ脆弱性に対処するセキュリティ更新プログラムを公開しました。「Microsoft Internet Explorer の解放後使用によるリモートコード実行の脆弱性」(CVE-2014-0322)は、当初は標的型攻撃に悪用されていましたが、その後サイバー犯罪者の間で広く利用されるようになった結果、今では一般のインターネットユーザーにも影響しています。
今月の月例パッチでは、すでに悪用が確認されている「Microsoft Internet Explorer のメモリ破損の脆弱性」(CVE-2014-0324)についても対処されました。シマンテックの調査によると、CVE-2014-0324 を悪用する対象は Internet Explorer 8 です。シマンテックがこの悪用を確認したのは 2 月中旬のことで、限定的な標的型攻撃を実行する水飲み場型攻撃に使われたものと思われます。
悪用コードは、脆弱性を利用するために特別に細工された Web ページに実装されていました。悪用に成功すると、侵入先の Web サイトの特定の URL からペイロードがダウンロードされます。ただし、解析の時点ではダウンロードファイルを入手できていなかったため、このペイロードの詳細はまだ判明していません。シマンテックのテスト環境では、この悪用コードによってデータ実行防止(DEP)が作動します。DEP とは、実行を許可されていないメモリページからコードが実行されるのを防止しようとするセキュリティ機能です。つまり、DEP が有効であれば、この悪用コードによって脆弱性が利用されることはありません。
今回確認された悪用コードは、微妙に相違点はあるものの、昨年の秋に「Microsoft Internet Explorer のメモリ破損の脆弱性」(CVE-2013-3897)を狙った悪用コードと類似しています。
シマンテック製品をお使いのお客様は、この脆弱性を悪用する攻撃から保護されています。シマンテック製品は、以下のシグネチャでこの悪用コードを遮断します。
ウイルス対策
侵入防止シグネチャ
- Web Attack: Internet Explorer CVE-2014-0324
- Web Attack: Internet Explorer CVE-2014-0324 2
- Web Attack: Generic Memory Heap Spray 4
シマンテックは、CVE-2014-0324 の悪用に備えて引き続き監視を続けていますが、同じ月に攻撃が疑われたのは 1 件だけでした。ある特定の組織または個人を標的として悪用されただけだと思われます。この悪用の影響を受ける恐れがある場合には、速やかにパッチを適用してください。また、セキュリティ製品を常に最新の状態に保つこともお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。