| Symantec Security Response Weblog |
October 23,2008 Posted by Security Intel Analysis Team
米シマンテックのディープサイト脅威アナリスト・チーム(DeepSight Threat Analyst Team)は先ごろ,既存のセキュリティ・ホールに対する興味深い攻撃の拡大を確認した。従来の攻撃手法だと,このセキュリティ・ホールを突く攻撃用ファイルを被害者のパソコンにダウンロードさせても,すぐには実行できなかった。ところが今回見つけた新種の攻撃手法を使うと,攻撃用ファイルを即時実行できるようだ。
通常この新たな攻撃は,ActiveXコントロールに存在するファイル上書きとファイル・ダウンロード関連のセキュリティ・ホールを悪用し,被害者のパソコンに攻撃用ファイルをダウンロードさせる。これまでの手口は,攻撃用ファイルのダウンロードまでなら難なく行えるが,パソコン上で実行させるための手段が限られていた。実行させるには,Windowsの「スタートアップ」フォルダなどにファイルを入れるか,ソーシャル・エンジニアリングなどの攻撃を仕掛ける必要がある。攻撃者は,被害者がパソコンを再起動してファイルを実行するのを待つしかない。そのため,攻撃実行までに時間がかかるし,発見されたり失敗したりする恐れが高いという問題があった。
これに対し最近広まったエクスプロイトは,「Microsoft Help and Support Center Viewer」アプリケーションとファイル上書き/ダウンロード関連のセキュリティ・ホールを組み合わせることで,攻撃用ファイルの即時実行を実現させている。典型的な攻撃手順を以下で説明しよう。
(1)攻撃者は被害者のパソコンに攻撃用ファイルを送り込むため,好きなファイル上書き関連セキュリティ・ホールを突く攻撃用Webページを作る。その上で,このWebページに被害者を誘い込む。
(2)被害者が攻撃用Webページにアクセスすると,セキュリティ・ホールが悪用され,「C:\WINDOWS\PCHealth\HelpCtr\System\sysinfo\sysinfomain.htm」といったHelp and Support Center関連のHTMLファイルの一つが悪質なスクリプト・コードの入った攻撃用ファイルで上書きされる。
(3)ここまで作業が成功したら,攻撃者は「window.location = hcp://system/sysinfo/sysinfomain.htm」などの「window.location」メソッドを用いて被害者のWebアクセスをリダイレクトする。
(4)「hcp://」の処理を担当するHelp and Support Center Viewerが攻撃者の仕込んだスクリプトを走らせ,攻撃用ファイルを実行する。
この手口の特徴は,Help and Support Center Viewerがローカル・ユーザーの権限でスクリプトを走らせるため,攻撃者がユーザーのパソコンに送り込んでおいた攻撃用ファイルを実行する手段として,以前から存在している「Safe for Scripting」(スクリプトに対して安全)とマークされないActiveXコントロールを利用できることだ。
ここに注目すべき条件がある。ユーザーが管理者としてWindowsにログインしない限り攻撃は成功しない。ところが,スタンドアロンのパソコンに「Windows XP」を標準セットアップすると管理者権限がたいてい有効になるし,普段使うユーザーの権限を下げておく推奨設定に従っているユーザーなどほとんどいない。その結果,多くのパソコンでこの攻撃が成功してしまう。
DeepSight Threat Analysis Teamは,この攻撃手法の解説ビデオも作っておいた。
Copyrights (C) 2008 Symantec Corporation. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Web Attacks Using Microsoft Help and Support Center Viewer」でお読みいただけます。
