国内のサイト改ざんが昨年から続いている。「ガンブラー」でひとくくりにされることが多いが、そのひとつで本通信では「8080系」と呼んでいる攻撃に、先頃公開されたWindowsの「ヘルプとサポートセンター」の未修整の脆弱性を突く攻撃コードが組み込まれた。
「ヘルプとサポートセンター」は、Windows XPとWindows Server 2003に含まれる、オンラインヘルプやオンラインサポートなどを提供する機能。この機能は、「hcp://」で始まるURLで呼び出せるようになっているが、このURLの取り扱いに問題があり、通常では行えないはずのプログラムのダウンロード/実行が、警告なしで行われてしまう。
IBMの「東京SOC」の発表によると、攻撃コードの組込みは24日頃から確認されているとのこと。編集部でも、国内の多数の改ざんサイト経由でゼロデイ攻撃が大規模に展開されていることを確認している。26日時点の攻撃コードは、ブラウザがInternet Explorer 7の場合にのみゼロデイ攻撃が発動するようになっており、条件がそろうと改ざんされたWebサイトを閲覧するだけで、ウイルスに感染してしまうおそれがある。
<Fix Itでゼロデイ回避>
「ヘルプとサポートセンター」の問題は、hcpプロトコルの無効化によって回避できるもので、そのための設定を自動的に行うツール「Fix It」がマイクロソフトから提供されている。Windows XPユーザーで回避策をまだ実行していない方は、早急に「サポート技術情報2219475」のページで公開されている「Fix It」を実行し、改ざんサイトに遭遇してもウイルスに感染しないよう備えてほしい。
<Adobe ReaderやJREの脆弱性対策も>
8080系の攻撃では、この他にもAdobe ReaderやJREの修正済みの脆弱性攻撃も仕掛けてくる。1つでも抜け道があると攻撃が成立してしまうので、下記トピックス『初心者必見! 究極の感染対策「6つの約束」を実行しよう』を参考に、穴をふさいでおいていただきたい。
なお、8080系の攻撃には含まれていないが、Adobe Reader内蔵のFlash Playerも、明日いっぱいまでゼロデイ状態が続くので注意していただきたい。回避策は、Adobe Readerをアンインストールするか、Adobe Readerがインストールされているフォルダ内にある内蔵プレーヤー本体「authplay.dll」をリネームまたは削除する。
(2010/06/28 ネットセキュリティニュース)
■ Windows のヘルプとサポート センターの脆弱性を悪用する攻撃(IBM Tokyo SOC Report)
https://www-950.ibm.com/blogs/tokyo-soc/entry/mshelp0day_20100625?lang=ja
■マイクロソフトのリリース
・マイクロソフト セキュリティ アドバイザリ (2219475) Windows のヘルプとサポート センターの脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/2219475.mspx
・マイクロソフト サポート技術情報2219475
http://support.microsoft.com/kb/2219475
【関連記事:ネットセキュリティニュース】
・脆弱性対策を~Windows XPとServer 2003用Fix It公開/Adobe Readerも必ず(2010/06/15)
・Windowsのヘルプとサポートセンターに脆弱性、XPとServer 2003に影響(2010/06/14
・SQLインジェクション攻撃でサイト改ざん~Flash Playerの脆弱性攻撃に注意(2010/06/24)