実環境でCVE-2012-0158のエクスプロイトを確認

Microsoftが4月の月例パッチで対処した脆弱性を突く攻撃が発生している。

[本城信輔，McAfeeLabs]

（このコンテンツはマカフィー「McAfee Blog」からの転載です。一部を変更しています。）

　4月16日週から、Microsoft Officeなどのマイクロソフト製品のMSCOMCTL.OCXに存在数する脆弱性（CVE-2012-0158）を利用する不正なファイルが多数確認されています。このエクスプロイトは、RTF、Word、Excelなど、さまざまなファイル形式で実装することが可能です。すでに不正なRTFとWordファイルが実環境で見つかっています。悪質なRTFファイルには\object、\objocxタグを使って脆弱なOLEファイルが埋め込まれています。

　以下の画像は、脆弱なOLEファイルが組み込まれた不正なRTFファイルの一例です。D0CF11E0にOLEファイルのシグネチャが見られます。

悪質なRTFファイル

　脆弱なアプリケーション、つまり、他のエクスプロイト・ドキュメントを使って不正なファイルを開くと、おとりとして無害なファイルが表示されますが、その裏ではトロイの木馬がインストールされます。以下は、脆弱なアプリケーションによるマルウェアの一般的なインストール手順です。ここではWordの例をとり上げました。

• 1.不正なドキュメントがWordのプロセスによって開かれます
• 2.脆弱性により、OLEファイルのシェルコードが起動します
• 3.シェルコードにより、トロイの木馬がターゲットマシンにインストールされます。一般的なインストールパスは以下の通りです。

%userProfile%\Local Settings\Temp\(ファイル名).exe

• 4.シェルコードにより、Wordの新しいプロセスが開始され、文書に埋め込まれている無害な文書ファイルがおとりとして開かれます。一般的に、おとりとなるファイルは以下の場所に作成されます

%userProfile%\Local Settings\Temp\(ファイル名).doc

• 5.シェルコードにより、特殊なドキュメントを開いたWordのプロセスが終了します

　手順4と5によって、感染したマシンでは、Wordがすぐに終了し、直後に、おとりとなるファイルが再起動する、といった現象が見られます。このような兆候が見られた場合は、システム管理者に相談してください。

　一般的に、これらの不正なドキュメントはメールの添付ファイルとして送られてきます。一方的に送付されたメールを開く場合は、必ず注意してください。また、4月に提供された最新のパッチをインストールすることを強くお勧めします。詳しくは、http://technet.microsoft.com/en-us/security/bulletin/ms12-027に掲載されているマイクロソフトのセキュリティ情報を参照してください。