アドビは、Flash Playerの2つの重大なセキュリティ欠陥にパッチを当てました。どちらも積極的な攻撃を受けていました。 自動更新を有効にしていない場合は、最新バージョンをダウンロードしてすぐにインストールする必要があります。
Adobeは2月7日にリリースされた緊急セキュリティ勧告で、Flashバージョン11.5.502.146以前を実行しているこれらのオペレーティングシステムのユーザーは最新のAdobeにアップデートする必要があると述べた。 Flash Player 11.5.502.149をできるだけ早く、アドビはアドバイザリで述べた。 アドビシステムズ社はLinuxおよびAndroid向けの最新のFlash Playerバージョンもリリースしましたが、これら2つのプラットフォームは現在攻撃を受けていません。
Googleは、Chromeに統合されたFlash Playerを自動的に更新し、MicrosoftはInternet Explorer 10に対しても同様に行います。ユーザーはここで、インストールしたFlashバージョンと更新の必要性を確認できます。
「これらのアップデートは、クラッシュを引き起こし、攻撃者が影響を受けるシステムを制御する可能性がある脆弱性に対処します」とアドビはアドバイザリーで述べました。
攻撃を受けているバグ
攻撃者は、電子メールに添付された悪意のあるFlashコードを含むブービートラップされたMicrosoft Word文書を介してCVE-2013-0633を悪用しました。 Adobeによると、これはWindows上のFlash PlayerのActiveXバージョンを標的にしたものです。 妥協が成功すると、攻撃者はリモートでコードを実行し、完全に制御できるようになるとアドビは警告しました。
もう1つの脆弱性CVE-2013-0634は、Mac OS X上のSafariとFirefoxを標的にしました。悪意のあるFlashコンテンツをホストしているWebサイトにアクセスしたユーザーは、ドライブバイダウンロード攻撃を引き起こしました。 ドライブバイダウンロードとは、ユーザーが何もしなくても自動的に実行される攻撃スタイルのことです。 この脆弱性は、悪意のあるWord文書を介してWindowsユーザーに対しても使用されています。 このバグが悪用されると、攻撃者はコンピューターを完全に制御できるようになります。
ソフォスのPaul Ducklin氏は、「Webページを読んだり、ドキュメントを表示しただけで、バックグラウンドで不正なインストールが行われる可能性があるため、ソフトウェアの通常のユーザー操作、警告、および保護手段がバイパスされるため、ドライブバイダウンロードは危険です」と述べていますNaked Securityブログで。
誰に対する標的型攻撃?
攻撃自体の詳細はあまりありませんが、アドビはMacの脆弱性を報告したことでShadowserver Foundation、Lockheed MartinのComputer Incident Response Team、MITREのメンバーを称賛しました。 カスペルスキーの研究者は、Windowsのバグを発見したとされています。 Lockheed MartinとMITERが名前を挙げられたのは、システムに対する標的型攻撃で悪意のあるWord文書が見つかったためです。 このような攻撃は、防衛、航空宇宙、およびその他の業界で一般的であり、ロッキードマーティンは過去にも同様の攻撃を経験しています。
FireEye Malware Intelligence Labの研究者は、Windowsシステムをターゲットにするために使用されるWordドキュメントを分析し、Flashコード内で「LadyBoyle」という名前のアクションスクリプトを特定しました。 LadyBoyleスクリプトは、ActiveXコンポーネントがインストールされたWindowsマシンに複数の実行可能ファイルとDLLライブラリファイルをドロップします。FireEyeの研究者であるThoufique Haqは、ラボのブログに書いています。 Haqによると、攻撃ファイルは2月4日と同じくらい最近コンパイルされたものの、マルウェアファミリは新しいものではなく、以前の攻撃でも確認されています。
「面白いのは、Wordファイルの内容は英語ですが、Wordファイルのコードページは「Windows簡体字中国語(PRC、シンガポール)」です」とHaqは書いています。
ドロップされた実行可能ファイルの1つには、韓国のゲーム会社であるMGameからの無効なデジタル証明書もあります。 FireEyeによると、他の多くの種類のアクティブマルウェアと同様に、この特定の亜種は、システムでKaspersky LabまたはClamAVのウイルス対策ツールが実行されているかどうかをチェックします。
