未パッチのPowerPoint脆弱性が攻撃のターゲットに

Microsoftは、新たな「攻撃」が、これまで知られていなかったPowerPointの脆弱性を悪用しているとする報告がウイルス対策ベンダーからあったことを認めている。

[Ryan Naraine，eWEEK]

　Microsoftはこの夏、Officeソフトウェアスイートに開いたセキュリティホールを封じるために格闘をしてきたが、PowerPointユーザーを狙った新たなゼロデイ攻撃が報告されたことで、この戦いが再びエスカレートした。

　Microsoftは、新たな「極めて限定された攻撃」が、これまで知られていなかったPowerPointの脆弱性を悪用しているとする報告がウイルス対策ベンダーからあったことを認めている。

　電子メール経由で仕掛けられるこの攻撃は、細工を施した.ppt形式の添付ファイルを利用し、感染したWindowsマシンにトロイの木馬ドロッパーを仕込む。

　Symantecのアドバイザリによると、この攻撃ファイルは複数のコンピュータプロセスに自身を注入し、rootkitテクニックを利用して関連ファイルおよびプロセスを隠蔽する。

　攻撃ファイルは、バックドアを開き、「6600.org」および「9966.org」ドメインに置かれたWebサイトに接続することにより、悪意を持ったハッカーがターゲットマシンを完全にコントロールすることを可能にする。

　Symantecによると、細工が施されたPowerPointファイルの名前は「FinalPresentationF05.ppt」もしくは「2006-Jane.ppt」となっているという。

　この手口は、最近のゼロデイPowerPoint攻撃で用いられたものと同じであり、専門家らは、アジア地域における産業スパイと関係があるとみている。

　Symantecによると、ターゲットを絞った今回の攻撃は、ネットワークの偵察、ファイル検索、ファイルのダウンロード／アップロード、フォルダの作成／削除、コマンドの実行、レジストリ設定の変更などを行うために利用される可能性があるという。

　ウイルス対策ソフトベンダーのMcAfeeでは、この攻撃は「単一のターゲット」を狙ったものであり、Microsoft Officeユーザーに対する最近の攻撃は、ターゲットを絞り込んだ攻撃の一部であるとしている。

　Microsoftの広報担当者によると、同社による調査の結果、この脆弱性はMicrosoft Office 2000、Microsoft Office 2003およびMicrosoft Office XPに影響することが分かったという。

　「この攻撃が実行されるためには、電子メールの添付ファイル、あるいはそのほかの方法で攻撃者から提供されるMicrosoft PowerPointドキュメントをユーザーが最初に開く必要がある」と広報担当者は話している。

　同担当者によると、Microsoftでは「Win32/Controlppt.W」および「Win32/Controlppt.X」と呼ばれるマルウェアを利用した攻撃シナリオを認識しており、同社が無償で提供しているWindows Live OneCareセーフティスキャナに検知／削除用シグネチャを追加したという。

原文へのリンク