「New BackDoor Attacks Using PDF Documents」より
February 19,2009 Posted by Geok Meng Ong
今さら繰り返して注意を呼びかける必要などないが,ゼロデイ攻撃はサイバー犯罪者が好む手口であり,この傾向は2009年も続く。最近現れた「W32/Conficker.worm」(「MS08-067」のぜい弱性を突く)や「Exploit-XMLhttp.d」(「MS08-078」「MS09-002」のぜい弱性を突く)といった実例だけでは,こうした状況を納得できないだろうか(関連記事:Windowsの脆弱性悪用ウイルスに亜種、「自動更新機能」を備える/Microsoft,「Conficker」ワーム作成者摘発に25万ドルの懸賞金/IEの脆弱性を突く攻撃が「予想通り」出現、日本国内でも確認)。それならば,別の例を紹介しよう(関連記事:Adobe Readerなどに危険な脆弱性、「PDFウイルス」が既に出現)。
2009年の初めに,「Adobe Reader 8.x」「同9.x」のゼロディ・セキュリティ・ホールを突く悪質なPDF文書が見つかった。攻撃者はAdobe Readerに存在するあるバグを悪用することで,細工したオブジェクトをPDF文書に埋め込んでおけばメモリーの好きな場所にデータを上書きできてしまう。この攻撃は既に出回っていて,JavaScriptで以下に示したコードを実行し「ヒープ・スプレイ」と呼ばれる悪質な操作を行う。
攻撃用コードの実行
上記コードは,トロイの木馬をインストーする悪質なシェルコードを指すようeaxレジスタを書き換えている。攻撃が成功すると,バックドアが仕掛けられ,パソコンが遠隔操作/監視可能な状態になってしまう。このバックドアの特徴と検出に関する追加情報は,Webページに掲載しておく。
現時点でこのエクスプロイトの攻撃対象は限定的だが,情報が広まれば新たな亜種が現れるだろう。Confickerの場合と同じく,パッチ管理が適切に行われるかどうか非常に懸念される。ITセキュリティ担当者はその点に注目しよう。米アドビ システムズは,早急に修正パッチをリリースする予定だ(同社の情報)。
Copyrights (C) 2009 McAfee, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,「New BackDoor Attacks Using PDF Documents」でお読みいただけます。
