Symantec Security Response Weblog
Next-Generation Flash Vulnerability」より
July 22,2009 Posted by Patrick Fitzgerald

 我々は最近,悪質なバイナリ・ファイルをダウンロードして実行するPDFファイルを入手した。このPDFファイルはペイロードをダウンロードする際,間違いなく何らかのぜい弱性を悪用している。分析したところ,これまでに悪用された例のないぜい弱性を突くものだと判明した。さらに驚いたのは,このぜい弱性が当初疑った「Adobe Reader」でなく,「Adobe Flash」に存在していたことだ(関連記事:Flash Playerに危険な脆弱性、悪用する「PDFウイルス」が出現)。

 Adobe Flashに問題があるため,状況の深刻さが増す。大抵の場合,ぜい弱性は1種類の技術にしか関係しない。つまり,特定のWebブラウザやOSにしか影響を及ぼさないのだ。複数のプラットフォームや製品を巻き込むぜい弱性は珍しい。ところがFlashのぜい弱性は,この珍しい例に相当する。Flashは主なWebブラウザすべてで利用可能なうえ,PDF文書内でも使える。特に,OSの種類に依存しないという点が大きな特徴だ。そのため,今回の件でもたらされる脅威は軽視できない。現在Webを利用するにあたって,Flashは欠かすことのできない技術である。当たり前のように使われているので,ほとんどのユーザーがその存在に気付いてもいない。

 米マタサノ・セキュリティのThomas Ptacek氏は同社のブログ記事「This New Vulnerability:Dowd's Inhuman Flash Exploit」(「この新たなぜい弱性:Dowd氏の示した非情なFlashエクスプロイト」)で,「なぜFlash関連エクスプロイトを用心するかというと,実際に使われているWebブラウザの大半が攻撃者に操られてしまうからだ」と記し,Flashのぜい弱性がいかに危険かを説明した。Flashの普及率が高いことから,攻撃者は多数の獲物に攻撃を仕掛けられる。守る側としては,あまりに数が多くて対処しきれない。

 Ptacek氏のこのコメントは,米IBMインターネット・セキュリティ・システムズ(ISS)部門の研究者であるMark Dowd氏の2008年4月付け論文(PDF形式)「Application-Specific Attacks:Leveraging the ActionScript Virtual Machine」(「特定アプリケーションを狙った攻撃:ActionScript仮想マシンの使用」)に対してなされたものだ。Dowd氏は論文で,成功率の高いエクスプロイトを作ったと詳しく説明している。このエクスプロイトは,「Adobe Flash Player version 9.0.115.0」に存在するメモリー改変を許してしまう些細(ささい)なバグを悪用していた。Dowd氏は,Flashの開発者たちが組み込んだ数多くの防御策をどうやってくぐり抜けたかを,こと細かに示した。大した成果である。Dowd氏が意図していたかどうかは別にして,論文から,このぜい弱性を突くエクスプロイトの攻撃成功率を上げることは難しいし,修正パッチのリリース後は問題をすべて過去のものとして葬り去れることが分かるため,読んだ人は安心してしまった。当然,多くの人がDowd氏の研究成果を喜んで受け入れ,それぞれの目的で応用している。我々は,この論文が公開されてからFlashの悪用を試みる攻撃が広まったことを確認した。こうした攻撃は,いずれも最終的にはDowd氏の見つけたエクスプロイトを使っている。これが現在までの状況だ。

 これらのエクスプロイトを作った連中は,あるバグを使い,ヒープ・スプレイという手口で成功率の高いエクスプロイトを実現させようとしている。ユーザーをだまして攻撃用Webサイトへ誘導するか,攻撃用PDFファイルをメールで送りつけるパターンが多い。不用心なユーザーがこのようなWebサイトにアクセスしたりPDFファイルを開いたりすると,エクスプロイトがパソコンに別のマルウエアをダウンロードしてしまう。当社はこの攻撃用PDFファイルを「Trojan.Pidief.G」,ダウンロードされるファイルを「Trojan Horse」として検出する。

 我々は,この件に関する情報を米アドビ・システムズのセキュリティ対策チーム(PSIRT)に報告した。ユーザーはウイルス定義ファイルを確実に最新版に更新してほしい。Dowd氏がぜい弱性を見つけたのと同じように,これから数カ月は今回のぜい弱性を悪用しようとする攻撃が増えるだろう。普段通りアドビから正式に提供される修正パッチを見逃さず,すべての関連製品を最新状態に更新しよう。さらに,「Windows Vista」はユーザー・アカウント制御(UAC)機能を利用すれば感染の危険性を緩和できる。

 今回の場合,このぜい弱性を突くPDFは複数のFlashストリームを含んでいる。そのうちの一つは動的にシェルコードを作るために利用され,ヒープ・スプレイでエクスプロイトの成功率を高めようとする。攻撃の際,ヒープには64Mバイトのデータがロードされる。この時点でのヒープの内容を以下に示す。

 攻撃者は,次の段階で何とかしてプログラム処理をこのヒープ領域に誘導し,攻撃用シェルコードに到達させなければならない。ここで,前述したぜい弱性が登場する。Flashがある特定のシナリオで命令列をサニタイズ(無害化)し損なうのだ。end関数が誤った構造のオブジェクトに対応できていないため,意図せずプログラム処理をヒープに導いてしまう。

 攻撃者のこの行為によって,プログラム処理は事前のヒープ・スプレイで細工された領域に移る。処理がヒープ内で進むと,最終的に攻撃者の仕込んだシェルコードが実行される。

 実際に試したところ,このぜい弱性は「Windows XP」とWindows Vistaで悪用可能だった。ただし,UACを有効化したWindows Vistaではダウンロードされたファイルが動かない。また,Flash関係のぜい弱性であるため,Flashを使うソフトウエアは例外なくこの問題の影響を受ける可能性がある。


Copyrights (C) 2009 Symantec Corporation. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Next-Generation Flash Vulnerability」でお読みいただけます。