攻撃者がMicrosoftの正規アプリ「Help and Support Center Viewer」を利用し、被害者のシステムで直ちに悪質なコードを実行させる方法を編み出したと、セキュリティ企業の米Symantecが伝えた。
Symantecによると、これまでは攻撃側が悪質ファイルをダウンロードさせることに成功しても、直ちにそれを実行させるのは難しかった。
ところが今回見つかった手口で攻撃側は、Help and Support Center Viewerを利用してこの問題を解消。ActiveXコントロールのファイル上書き/ファイルダウンロードの脆弱性を併用して、直ちに悪質なファイルを実行させるやり方を編み出したという。
具体的な手口としては、まずファイル上書きの脆弱性を突く不正なWebページを作成し、ユーザーをおびき寄せる。ユーザーがこのページを閲覧すると、Help and Support CenterのHTMLファイルが上書きされ、不正動作を実行するスクリプトコードに書き換えられてしまう。
続いて攻撃側は「window.location = hcp://system/sysinfo/sysinfomain.htm」などのwindow.locationメソッドを使い、被害者のブラウザをリダイレクトさせる。「hcp://」リンクを処理するHelp and Support Center Viewerで攻撃スクリプトを処理させ、悪質コードを実行させる。
Help and Support Centerはローカルユーザーの権限でスクリプトコマンドを実行できるため、この手を使えば大量のコンピュータで攻撃を実行することが可能だと、Symantecは警鐘を鳴らしている。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR