今月11日、マイクロソフトが月例パッチで修正したばかりの脆弱性(MS12-027)を悪用した標的型攻撃が世界各地で確認されていたが、17日には国内の組織をターゲットにした攻撃が確認された。メールに添付された不正ファイルを開くことで感染するが、パッチを適用していれば感染することはない。
問題の脆弱性「MS12-027:CVE-2012-0158」は、「Windowsコモンコントロール」に存在する脆弱性で、11日の月例アップデートでは、最も深刻な「緊急」4件のうちの1件として修正された。この時点ですでに限定的ではあるものの標的型攻撃での悪用が確認されており、マイクロソフトはパッチの早急な適用を推奨していた。
■パッチ公開数日後には世界各地で流布
アップデート公開の数日後、トレンドマイクロはこの脆弱性を利用する不正ファイル(RTF形式)が世界各地で流布していることを確認している。「MS12-027」に含まれる脆弱性「CVE-2012-0158」を悪用した不正ファイルで、チベットの著名な人物から送られたように装い、チベットの市民NGO に送信されていた。実行ファイルに含まれるマルウェアは、トレンドマイクロではスパイウェア「TSPY_GEDDEL.EVL」として検出され、中国に指定されたホストへデータを送信する。
■17日に国内組織をターゲットにした攻撃確認
東京SOCは17日、この脆弱性を悪用した攻撃が日本国内の組織を標的に行われていることを確認した。メール送信元のアドレスは国内組織のドメイン(*.or.jp)を使い、メールには「MS12-027」に含まれる脆弱性「CVE-2012-0158」を悪用して感染させようとする不正ファイル(RTF形式)が添付されていた。ファイルを開くと感染し、外部と通信することも確認されている。東京SOCは、脆弱性があるパソコンで Microsoft Wordを使って、このファイルを表示した場合の画面を提示している(URL下記)。
前述のように、この脆弱性を修正するパッチは11日に公開されており、自動更新を有効にしている人はすでにアップデートされているので感染することはない。自動更新を無効にしている人は、すぐに更新することをお勧めする。
(2012/04/19 ネットセキュリティニュース)
【関連URL】
・MS12-027の脆弱性を悪用するDocファイルが添付された不正なメールの送信を検知(東京SOC)
https://www-304.ibm.com/connections/blogs/tokyo-soc/entry/virus_doc_20120418?lang=ja_jp
・次の「チベット」便乗標的型攻撃、脆弱性「CVE-2012-0158」を利用(トレンドマイクロ)
http://blog.trendmicro.co.jp/archives/5023
・CVE-2012-0158-Now Being Used in More Tibetan-Themed Targeted Attack Campaigns[英文](トレンドマイクロ)
http://blog.trendmicro.com/cve-2012-0158-now-being-used-in-more-tibetan-themed-targeted-attack-campaigns/
・Microsoft Office等の脆弱性について(MS12-027)(CVE-2012-0158)(IPA)
http://www.ipa.go.jp/security/ciadr/vul/20120411-Windows.html
・MS12-027 - 緊急 Windows コモン コントロールの脆弱性により、リモートでコードが実行される (2664258)(マイクロソフト)
http://technet.microsoft.com/ja-jp/security/bulletin/ms12-027