Microsoftが4月の月例パッチで対処した脆弱性を突く攻撃が発生している。
(このコンテンツはマカフィー「McAfee Blog」からの転載です。一部を変更しています。)
4月16日週から、Microsoft Officeなどのマイクロソフト製品のMSCOMCTL.OCXに存在数する脆弱性(CVE-2012-0158)を利用する不正なファイルが多数確認されています。このエクスプロイトは、RTF、Word、Excelなど、さまざまなファイル形式で実装することが可能です。すでに不正なRTFとWordファイルが実環境で見つかっています。悪質なRTFファイルには\object、\objocxタグを使って脆弱なOLEファイルが埋め込まれています。
以下の画像は、脆弱なOLEファイルが組み込まれた不正なRTFファイルの一例です。D0CF11E0にOLEファイルのシグネチャが見られます。
脆弱なアプリケーション、つまり、他のエクスプロイト・ドキュメントを使って不正なファイルを開くと、おとりとして無害なファイルが表示されますが、その裏ではトロイの木馬がインストールされます。以下は、脆弱なアプリケーションによるマルウェアの一般的なインストール手順です。ここではWordの例をとり上げました。
%userProfile%\Local Settings\Temp\(ファイル名).exe
%userProfile%\Local Settings\Temp\(ファイル名).doc
手順4と5によって、感染したマシンでは、Wordがすぐに終了し、直後に、おとりとなるファイルが再起動する、といった現象が見られます。このような兆候が見られた場合は、システム管理者に相談してください。
一般的に、これらの不正なドキュメントはメールの添付ファイルとして送られてきます。一方的に送付されたメールを開く場合は、必ず注意してください。また、4月に提供された最新のパッチをインストールすることを強くお勧めします。詳しくは、http://technet.microsoft.com/en-us/security/bulletin/ms12-027に掲載されているマイクロソフトのセキュリティ情報を参照してください。
Copyright © ITmedia, Inc. All Rights Reserved.