最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ボットに感染していませんか?フィッシングに悪用される国内ユーザーのPC急増(2008/10/28) | メイン | 個人情報流出事件(2008/10/09~10/29) »

2008/10/29

Windowsの脆弱性突く攻撃コード公開~マイクロソフトがアドバイザリ(2008/10/29)

 マイクロソフトは28日、先ごろ緊急パッチを公開したWindowsの脆弱性「MS08-067」を悪用するコードがインターネット上で公開されたとして、注意を呼びかけるセキュリティアドバイザリを公開した。

 この脆弱性は、Windowsのファイル共有やプリンタ共有機能を提供するServerサービスに関するもので、ネットワーク経由で他のパソコンのサービスを実行するメカニズムRPC(Remote Procedure Call)が細工されたパケットを受信するとバッファオーバーフローが発生。匿名のRPC接続ができるWindows XPおよびそれ以前のシステムでは、認証なしで任意のコードが実行されるおそれがある。

 緊急パッチが公開された24日には、早くもバッファオーバーフローを引き起こすコードのサンプルがネット上で公開されたが、27日には実際に攻撃を仕掛けてコードを実行するサンプルも公開され、悪用が広がる緊迫した状況となった。同社によると、当該コードを使うとWindows 2000/XP/Server 2003上でコードを実行。すでに、これを悪用した限定的な標的型攻撃も確認されており、同社は直ちにセキュリティ更新プログラムを適用するよう呼び掛けている。

■攻撃拡大のおそれ

 この脆弱性は、ServerサービスやComputer Browserサービスが有効で、なおかつWindowsファイアウォールやルーターなどを使って受信パケットをブロック(ポートTCPポート139と445をふさぐ)していない場合には、パソコンをネットワークに接続しているだけで攻撃を受けてしまう危険なもの。同社では、パッチ公開の2週間ほど前にWindows XPを標的とした攻撃を発見し、月例の更新を待たずにパッチを緊急公開となった。

 これまでに行われていた攻撃は、脆弱性を突いてスパイウェアをインストールしようとするもの。具体的には、同社のウイルス名「Arpoc」がネットワーク内の脆弱性を持つパソコンを探して攻撃を仕掛け、スパイウェアの「Gimmiv」をダウンロード/インストールさせようとする。「Arpoc」自身もインストールしたのかどうかについては各社の発表が微妙に異なるが、自己繁殖するワームがいつ登場してもおかしくない状況だ。ワーム化すれば、ネットワークにつながった未パッチのパソコンに次々と感染の連鎖が広がって行く最悪の状況も予想される。

 ウイルス名は各社で異なるが各社の発表を統合すると、それぞれの主要コンポーネントは以下のようなウイルス名で検出されるらしい。

・Arpoc:脆弱性を持つPCを探しGimmivをインストールするトロイの木馬
 TrojanSpyWin32-Arpoc.A(マイクロソフト)
 WORM_GIMMIV.A(トレンドマイクロ)
 Bloodhound.Exploit.212(シマンテック)
 Spy-Agent.da (マカフィー)
・Gimmiv:情報を収集するトロイの木馬
 TrojanSpy:Win32/Gimmiv.A(マイクロソフト)
 TSPY_GIMMIV.A(トレンドマイクロ)
 Trojan.Gimmiv.A(シマンテック)
 Spy-Agent.da (マカフィー)

 Gimmivについては、国内にあるハイパーボックスのレンタルサーバーからダウンロードするように仕掛けられていたようで(24日昼過ぎに閉鎖)、各社のウイルス対策ソフトの検出状況を知らせてくれるVirusTotalでは、26日時点で上記のウイルス名で検出されたことを編集部で確認している。

(2008/10/29 インターネットセキュリティニュース)

■マイクロソフト セキュリティ アドバイザリ (958963) Server サービスに影響を与える悪用コードの公開について(マイクロソフト)
http://www.microsoft.com/japan/technet/security/advisory/958963.mspx

【ウイルス情報】
・TrojanSpyWin32-Arpoc.A(マイクロソフト)
http://www.microsoft.com/security/portal/Entry.aspx?Name=TrojanSpy%3aWin32%2fArpoc.A
・TrojanSpy:Win32/Gimmiv.A(マイクロソフト)
http://www.microsoft.com/security/portal/Entry.aspx?name=TrojanSpy%3aWin32%2fGimmiv.A
・WORM_GIMMIV.A(トレンドマイクロ)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_GIMMIV.A
・TSPY_GIMMIV.A(トレンドマイクロ)
http://www.trendmicro.co.jp/vinfo/grayware/ve_graywareDetails.asp?GNAME=TSPY_GIMMIV.A
・Bloodhound.Exploit.212(シマンテック)
http://www.symantec.com/ja/jp/business/security_response/writeup.jsp?docid=2008-102323-4508-99
・Trojan.Gimmiv.A(シマンテック)
http://www.symantec.com/ja/jp/business/security_response/writeup.jsp?docid=2008-102320-3122-99
・Spy-Agent.da(マカフィー)
http://www.mcafee.com/japan/security/virS.asp?v=Spy-Agent.da

投稿情報: 12:30 |

|