ビデオ: RSA Conference 2012 -- Zero Day: A Non-Fiction View - Mark Russinovich (十一月 2024)
Microsoftは今週、Microsoft WindowsとOfficeの古いバージョンがTIFF画像フォーマットを処理する方法に重大なゼロデイ脆弱性があることを明らかにした。 この欠陥は実際に悪用されていますが、同社は来週のパッチ火曜日リリースのパッチの準備ができていないと述べました。
このバグ(CVE-2013-3906)により、攻撃者はユーザーをだまして特別に細工されたTIFF画像のファイルを開くように仕向けることにより、標的のマシン上でコードをリモートで実行できます。 ユーザーが攻撃ファイルを開くと、攻撃者はそのユーザーと同じ権限と特権を取得します。 これは、ユーザーが管理者アカウントを持っている場合、攻撃者がマシンを完全に制御できることを意味します。 ユーザーが管理者権限を持っていない場合、攻撃者は限られた損害しか引き起こすことができません。
テストラボAV-TESTは、現在攻撃で使用されているこれらの悪意のある画像が埋め込まれた少なくとも8つのDOCXドキュメントを特定しました。
影響を受けるソフトウェア
この脆弱性は、Lyncコミュニケーターサービスのすべてのバージョン、Windows Vista、Windows Server 2008、およびMicrosoft Officeの一部のバージョンに存在します。 スイートがインストールされているオペレーティングシステムに関係なく、Office 2003および2007のすべてのインストールが危険にさらされます。 Microsoftによると、Office 2010はWindows XPまたはWindows Server 2008にインストールされている場合にのみ影響を受けるという。 アドバイザリによると、Office 2007は現在アクティブな攻撃を受けている唯一のサイトのようです。
「Microsoft Officeビジネスユーザーの最大37%がこのゼロデイ攻撃の影響を受けやすい」とWebsenseのセキュリティ調査部長のAlex Watson氏は述べています。
この最新のゼロデイは、ソフトウェアの古いバージョンの脆弱性が組織を深刻な攻撃にさらす方法の良い例です。 ユーザーは、非常に古いため、そもそもOffice 2003、Office 2007、Windows XP、およびWindows Server 2003を実行しないでください。 「そのソフトウェアを削除した場合、この0日は存在しません」と、Tripwireのセキュリティ研究開発のテクニカルマネージャーであるTyler Reguly氏は述べています。 これらのアプリケーションの時代を考えると、組織とユーザーは今までに更新しているはずです。
野生の攻撃
野生では攻撃がありますが、これまでのところ、攻撃のほとんどは中東とアジアに集中していることを覚えておくことが重要です。 マイクロソフトは当初、「この脆弱性を悪用しようとする標的型攻撃」があると述べ、AlienVault、FireEye、Symantecのセキュリティ研究者は、キャンペーンを促進するためにすでに脆弱性を使用しているいくつかの攻撃グループを特定しました。
FireEyeのブログでは、5月に特定されたスパイ活動に特化したHangover作戦の背後にあるグループが、このバグを悪用して情報収集活動を促進しているようです。 AlienVault LabsのディレクターであるJaime Blascoは、このエクスプロイトがパキスタンのintelligence報機関と軍隊を標的にするために使用されていると述べました。 FireEyeの研究者によるArxという名前の別の攻撃グループは、このエクスプロイトを使用してCitadelバンキング型トロイの木馬を配布しています。
回避策のインストール
パッチは来週には準備ができていませんが、Microsoftはこの問題に対処するための一時的な回避策であるFixItをリリースしました。 脆弱なソフトウェアがある場合は、すぐにFixItを適用する必要があります。 FixItはTIFF画像へのアクセス方法を無効にしますが、これは一部のユーザーや企業にとっては選択肢ではない可能性があるとTripwireのRegulyは述べています。
TIFF形式で作業するWeb開発者、グラフィックデザイナー、マーケティングプロフェッショナルは、このFixItで仕事をする能力が妨げられることに気付くかもしれない、とRegulyは警告しました。 セキュリティの専門家は、高品質の画像で多くの作業を行う組織にFixItを展開する必要性を正当化するのが難しい場合があります。
「それにより、人々は新しい脆弱性を防止したり、仕事をしたりするという困難な状況に置かれます」とレギュリーは言いました。
組織は、攻撃の実行を防ぐため、MicrosoftのセキュリティツールキットEMET(Enhanced Mitigation Experience Toolkit)をインストールすることもできます。これは、MicrosoftのセキュリティレスポンスセンターのElia Florioがブログ投稿に書いたものです。
多くのウイルス対策およびセキュリティスイートは既にこの脆弱性を悪用する悪意のあるファイルを検出するために署名を更新しているため、セキュリティソフトウェアも更新する必要があります。 いつものように、特に要求していないファイルを開くとき、またはソースがわからない場合はリンクをクリックするときに、細心の注意を払ってください。