ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

Windows MDACの脆弱性を突く攻撃コード出回る

» 2006年06月09日 10時03分 公開
[Ryan Naraine,eWEEK]
eWEEK

 Microsoftが4月の月例パッチで修正した脆弱性を、悪意を持ったハッカーが積極的に悪用し、ボットネットに使うコンピュータを乗っ取ろうとしている。マルウェアハンターがこう警告している。

 米ネットセキュリティ組織Exploit Prevention Labsの研究者らは、幾つかのボット生成スクリプトが、MS06-014でカバーされているMicrosoft Data Access Components(MDAC)の脆弱性を狙っていると伝えている。

 「1週間のうちに3種類のスクリプトを目にした。これは少なくとも3つの(ハッカー)グループが別々に独自のエクスプロイト(攻撃コード)を作成したということを示している」とExploit Prevention LabsのCTO(最高技術責任者)ロジャー・トンプソン氏は語る。

 「わたしが知る限り、この脆弱性を突くコンセプト実証コードは出回っていなかった。たいていの場合、攻撃者は単に出回っているエクスプロイトをコピー&ペーストして自分のペイロードを付けるだけだ。だが、今回はパッチそのものをリバースエンジニアリングしているようだ」と同氏はeWEEKの取材に応えて語った。

 問題の脆弱性は、MDACで配布されるActiveX Data Objectsの一部として提供されるRDS.Dataspace ActiveXコントロールのリモートコード実行のバグだ。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に乗っ取ることができる。

 今回の最新の攻撃では、インターネットユーザーは不正に加工されたWebサイトを閲覧したり、特殊な細工を加えた電子メールを開くだけで危険にさらされる可能性があるとトンプソン氏は指摘する。

 場合によっては、Webサイト上のバナー広告を利用してパッチを当てていない脆弱なマシンにペイロードを送ることも可能だ。

 トンプソン氏は、今回の攻撃では、感染したマシンを攻撃者の支配下に置くダウンローダーが利用されていると話す。「このダウンローダーがインストールされると、そのコンピュータはWebの暴徒のものになってしまう。彼らはたいていこうしたマシンにスパイウェアと偽のスパイウェア対策製品を植え付ける。そのマシンを使って金をもうけることが目的だ」

 トンプソン氏の情報網により、問題のエクスプロイトはDIY式のスパイウェア作成ツールキット「WebAttacker」に関連しているようで、ロシアのアンダーグラウンドサイトで300ドル程度で販売されていることが明らかになった。WebAttackerキットには、マシンへの感染を容易にするスクリプトや、犠牲者を不正なサイトに誘い込むためのスパム送信テクニックが含まれている。

 同氏は、MDACのエクスプロイトはまだパッチを当てていない企業のWindowsユーザーにとって深刻な脅威だと指摘する。「一部の企業は全パッチを当てるまでに長い時間がかかる。場合によっては6カ月遅れているところもある」

 発見された3種類のエクスプロイトについて、同氏は、これらはすべて「完全な書き直し」であり、単なるマイナーな亜種ではないことに気付いた話す。「本当に珍しいことだ。これはおそらく、このエクスプロイトがアプリケーションのクラッシュやバッファオーバーフローに依存するのではなく、単にMDACの機能を利用しているからだろう」と同氏は語り、この攻撃を2005年12月のWMF(Windows Metafile)のゼロデイ攻撃に例えた。

 「つまり、この脆弱性は非常に簡単に悪用できるということだ。1週間に3つ見つかるのなら、もっと見つかるだろう。WMFも同じく簡単に悪用でき、2〜3日で多数の亜種が登場した」(トンプソン氏)

 同氏は、Automatic Updateを使ってパッチを当てているWindowsユーザーは安全なはずだが、これはWebベースのエクスプロイトなので、企業のIT部門はファイアウォールだけに防御を頼ることのないようにと話している。

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.