Adobe は本日、Flash の緊急セキュリティ パッチをリリースしました。このパッチは、Windows PC にスパイウェアを感染させるためにハッカーが現在使用しているバグを修正するものです。
この脆弱性(CVE-2017-11292)は、カスペルスキー研究所によって発見され、Windows、macOS、Linux、Chrome OS向けのFlashの最新バージョンすべてに影響を与えます。このソフトウェアのプログラミング上の欠陥により、ウェブサイトに隠されていたり、Office文書やその他のファイルに埋め込まれていたりする悪意のあるFlashファイルが、プラグインの内部メモリ構造を破壊し、脆弱なマシン上でリモートコード実行を許してしまう可能性があります。
前述の通り、これはゼロデイ脆弱性であり、コンピュータにマルウェアを感染させるために積極的に悪用されています。ネットユーザーは、Flashをできるだけ早くアップデートする必要があります。
「これは型混乱を引き起こすバグであり、攻撃者が標的のシステム上で任意のコードを実行できる可能性があります」と、Zero Day Initiativeはアドバイザリで警告しました。「攻撃者は、影響を受けるシステムに、通常はウェブサイト上にホストされている、悪意を持って作成されたFlashコンテンツを表示させる必要があります。このセキュリティアップデートは、管理者にとって最優先事項です。」
これはAdobeにとって大きな痛手です。先週、長らくぶりに今月は自社アプリケーションのセキュリティパッチは提供しないと誇らしげに宣言したばかりでした。しかし残念ながら、その宣言は6日間も続き、緊急修正がリリースされるまで続きました。
「イスラエルがカスペルスキーをハッキングし、NSAの脆弱性を収集するためにAVツールを使用しているロシアのスパイを捕まえた」
続きを読む
カスペルスキーの研究員アントン・イワノフ氏は、10月10日、BlackOasisと呼ばれるハッカーを調査している際にこの欠陥を発見した。BlackOasisは昨年、Flashの別のゼロデイバグを悪用し、流出したFinFisher(別名FinSpy)という政府監視ツールのコピーでコンピューターを感染させた。
今月、イワノフ氏はBlackOasisがFlashのこれまで知られていないバグを悪用し、任意の悪意あるコードをマシン上で実行しているのを発見しました。この罠が仕掛けられたFlashファイルはActiveXオブジェクトでラップされ、Microsoft Office文書に埋め込まれており、おそらく被害者にメールで送信されます。Flashファイルを開くと、メモリ破損のバグを悪用してメモリを自由に読み書きし、シェルコードの初期段階を実行します。
この最初の段階では、ウイルス対策パッケージによる検出を回避するために、コードの一部 (NOP スレッド) を偽装し、mo.exe と呼ばれる第 2 段階をダウンロードして実行します。
この実行ファイルは、ガンマ・インターナショナルが政府機関のスパイ活動のために開発したマルチツール型スパイウェア「FinFisher」の最新版です。このマルウェアは、コンピュータを乗っ取り、ユーザーの活動をスパイするだけでなく、3つのコマンド&コントロールサーバーに接続して首謀者からの新たな命令を受け取ることができます。
カスペルスキーチームは、「ペイロードは、さらなる制御とデータの流出のために3つのC2サーバーを呼び出します」と述べた。
これらのうち2つは、過去に他のFinSpyペイロードで使用されていたことが確認されています。最近では、これらのC2サーバーの1つが、2017年9月にFireEyeが報告した攻撃においてCVE-2017-8759と組み合わせて使用されていました。これらのIPアドレスとその他の過去のサンプルは、FinSpy活動のBlackOasis APTクラスターと密接に関連しています。
カスペルスキーチームによると、これまでのところ、この攻撃は政治的な標的を狙った非常に集中的な攻撃でのみ確認されているという。しかし、この脆弱性が公表されたことで、スクリプトキディのような愚か者たちが群がり、さらに悪用する可能性が高い。®
