昨年4月に修正された「Windowsコモンコントロール」の脆弱性を悪用するDOCファイルを添付した不正なメールが、今月17日頃から増加しているとして、Tokyo SOC(IBM 東京セキュリティー・オペレーション・センター)は25日、注意を呼びかけた。
悪用が確認された脆弱性は、昨年4月公開のセキュリティ更新プログラムで修正された、Windowsコモンコントロールで任意のコードが実行される問題。Tokyo SOCによると、日本人の送信者を装った中国簡体字のメールの添付ファイルとして、これを悪用したDOCファイルが送付されているという。
Windowsコモンコントロールは、「ツリービュー」や「リストビュー」などのWindowsが提供する機能を利用するための部品のひとつ。Windowsのシステムには標準搭載されておらず、Microsoft Office製品やVisual Basicなどの開発者用ツールに同梱されている。これらをインストールしていない環境や、インストール後に更新プログラムを適用している環境では、Windowsコモンコントロールが存在しない、あるいは更新済みであるため、脆弱性の影響は受けない。
■注意点~古いコントロールが新規インストールされてしまう場合も
注意しなければいけないのは、Windowsコモンコントロールがインストールされていない環境には、後から古いコントロールがインストールされてしまう可能性があるという点だ。
Windowsコモンコントロールは、複数のアプリケーションで共有される部品であるため、通常、インストール済みのものが古いバージョンに置き換えられるようなことはない。ところが、インストールされていない環境の場合には、古いVisualBasicなどで開発されたアプリケーションをインストールした際に、そのアプリケーションに同梱されている古いコントロールが新規にインストールされてしまい、一時的に脆弱な状態になってしまうことがある。
脆弱性自体は、Windowsの標準アプリケーションであるワードパッドや、Internet Explorerでも悪用可能なので、脆弱な状態が続かないように注意していただきたい。
(2013/01/28 ネットセキュリティニュース)
【関連URL】
・Windowsコモンコントロールの脆弱性(MS12-027)を悪用する不正なメールの増加を確認(IBM Tokyo SOC)
https://www.ibm.com/connections/blogs/tokyo-soc/entry/ms12-027_20130125?lang=ja
・MS12-027の脆弱性を悪用するDocファイルが添付された不正なメールの送信を検知
https://www.ibm.com/connections/blogs/tokyo-soc/entry/virus_doc_20120418?lang=ja・MS12-027 - 緊急:Windows コモン コントロールの脆弱性により、リモートでコードが実行される(マイクロソフト)
http://technet.microsoft.com/ja-jp/security/bulletin/ms12-027
【関連記事:ネットセキュリティニュース】
・修正済みの脆弱性狙う標的型攻撃を国内でも確認~MSの最新パッチ適用を(2012年4月19日)