以前のブログでお伝えしたように、Adobe Reader および Acrobat XI の 11.0.1 以前のバージョンに影響する Adobe 製品のゼロデイ脆弱性(CVE-2013-0640、CVE-2013-0641)が、頻繁に悪用されています。Adobe 社から、このゼロデイ脆弱性に対するパッチはまだ提供されていませんが、セキュリティ情報において、この攻撃に対する回避策が公開されています。
このゼロデイ脆弱性がさかんに悪用されているという最初の報告は FireEye 社からもたらされましたが、その報告によれば、脆弱性の悪用に成功するといくつかのファイルが投下され、ダウンロードされるということです。この動作は、シマンテックの調査でも確認済みです。図 1 に、攻撃の各段階を示します。
図 1. CVE-2013-0640 を悪用した攻撃
シマンテックは、この攻撃の各段階をそれぞれ Trojan.Pidiefおよび Trojan.Swaylibとして検出します(後者は当初 Trojan Horseとして検出していました)。Adobe 社の今回の脆弱性がさらに別の攻撃で悪用されても検出できるよう、侵入防止シグネチャ(IPS)として Web Attack: Malicious PDF File Download 5 も公開されています。
さらに調査を進めた結果、この攻撃で使われる PDF は、Symantec Mail Security for Microsoft Exchangeでも検疫されること、投下されるファイルはシマンテックのクラウドベースの検出技術で WS.Malware.2として検出されることを確認できました。
シマンテックは現在、このゼロデイ脆弱性に対する保護対策をさらに調査中であり、詳しいことがわかり次第このブログを更新する予定です。今後のゼロデイ攻撃から身を守るために、最新の STAR マルウェア対策技術を利用して、できるかぎりの保護対策を講じることをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。