FC2ブログ

今ここから始まる

スポンサー広告

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

未分類

実環境でCVE-2012-0158のエクスプロイトを確認

こんにちは。
ニュースをお届けします。

(このコンテンツはマカフィー「McAfee Blog」からの転載です。一部を変更しています。)

 4月16日週から、Microsoft Officeなどのマイクロソフト製品のMSCOMCTL.OCXに存在数する脆弱性(CVE-2012-0158)を利用する不正なファイルが多数確認されています。このエクスプロイトは、RTF、Word、Excelなど、さまざまなファイル形式で実装することが可能です。すでに不正なRTFとWordファイルが実環境で見つかっています。悪質なRTFファイルには\object、\objocxタグを使って脆弱なOLEファイルが埋め込まれています。

 以下の画像は、脆弱なOLEファイルが組み込まれた不正なRTFファイルの一例です。D0CF11E0にOLEファイルのシグネチャが見られます。

 脆弱なアプリケーション、つまり、他のエクスプロイト・ドキュメントを使って不正なファイルを開くと、おとりとして無害なファイルが表示されますが、その裏ではトロイの木馬がインストールされます。以下は、脆弱なアプリケーションによるマルウェアの一般的なインストール手順です。ここではWordの例をとり上げました。

・1.不正なドキュメントがWordのプロセスによって開かれます
・2.脆弱性により、OLEファイルのシェルコードが起動します
・3.シェルコードにより、トロイの木馬がターゲットマシンにインストールされます。一般的なインストールパスは以下の通りです。

%userProfile%\Local Settings\Temp\(ファイル名).exe

・4.シェルコードにより、Wordの新しいプロセスが開始され、文書に埋め込まれている無害な文書ファイルがおとりとして開かれます。一般的に、おとりとなるファイルは以下の場所に作成されます

%userProfile%\Local Settings\Temp\(ファイル名).doc

・5.シェルコードにより、特殊なドキュメントを開いたWordのプロセスが終了します

 手順4と5によって、感染したマシンでは、Wordがすぐに終了し、直後に、おとりとなるファイルが再起動する、といった現象が見られます。このような兆候が見られた場合は、システム管理者に相談してください。

 一般的に、これらの不正なドキュメントはメールの添付ファイルとして送られてきます。一方的に送付されたメールを開く場合は、必ず注意してください。また、4月に提供された最新のパッチをインストールすることを強くお勧めします。詳しくは、http://technet.microsoft.com/en-us/security/bulletin/ms12-027に掲載されているマイクロソフトのセキュリティ情報を参照してください。

http://headlines.yahoo.co.jp/hl?a=20120502-00000030-zdn_ep-secu
※この記事の著作権は配信元に帰属します。

次の展開も気になるところです。



お読みいただきまして
ありがとうございました。

次のニュースでお会いしましょう。
Comment
Trackback
Trackback URL
Comment form













管理者にだけ表示を許可する


Page Top
Powered by FC2 Blog | | Template Design by スタンダード・デザインラボ
今ここから リンクはコチラ www.fxdefx.com
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。