Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

今のところ「Duqu」は限定的 - 修正パッチ公開後は攻撃に警戒を

日本マイクロソフトは、12月14日に公開した月例セキュリティ更新プログラム「MS11-087」で、マルウェア「Duqu」が悪用する脆弱性を修正した。

「MS11-087」は、「Windowsカーネルモードドライバ」のTrueTypeフォント解析処理に存在する脆弱性「CVE-2011-3402」を修正するプログラム。

同脆弱性に対しては、「Stuxnet」の一部ソースコードを含むマルウェア「Duqu」によるゼロデイ攻撃が確認され、同社ではセキュリティアドバイザリを公開。さらに「Microsoft Active Protections Program(MAPP)」を通じてセキュリティベンダー約80社に情報を提供していた。

同社でチーフセキュリティアドバイザーを務める高橋正和氏によれば、脆弱性の悪用は限定的な標的型攻撃にとどまっており、今回の更新プログラムを公開するまで、それ以外に目立った活動は確認されていないという。

しかし、修正パッチが公開されたことで、状況が変化する可能性もある。同氏は「セキュリティ更新プログラムを解析すれば、修正部分はすぐにわかる。今後脆弱性が悪用するプログラムが登場する可能性もある」と説明。できるだけ早い更新プログラムの適用を呼びかける。

脆弱性「CVE-2011-3402」については、「Wordファイル」へ細工したフォントを埋め込む攻撃が確認されているが、それ以外にもウェブサイトにフォントを埋め込み、そのページを表示させることで脆弱性を攻撃することも可能だ。

また同社は、セキュリティアドバイザリで「CVE-2011-3402」の回避策として、「T2EMBED.DLL」へのアクセスを防ぎ、不正なフォントの表示を防ぐ「Fix it」を先月より公開している。

「Fix it」を有効化している場合でも、「MS11-087」を適用するために無効化する必要はないが、無効にされた機能をもとに戻すためには、手動で無効化する必要があるので注意が必要。

(Security NEXT - 2011/12/15 ) このエントリーをはてなブックマークに追加

PR

関連記事

第2の「Stuxnet」がさらに進化、「Duqu 2.0」見つかる - イラン核協議の諜報目的か
中東狙う高度なマルウェア「Flamer」見つかる - コードの複雑さは「Stuxnet」や「Duqu」に匹敵
「Duqu」が狙った脆弱性、別の複数プログラムから見つかる - MSが月例パッチで修正
パッチ提供前の脆弱性保護を実現するMSのパートナープログラム - 96時間以内に対応した企業名も公表
MS、予定より1件少ない月例パッチ13件を公開 - 優先度高いプログラムは2件
MS、12月の月例パッチは14件 - 「Duqu」が悪用する脆弱性も修正予定
リムーバブルメディア経由のマルウェア感染に引き続き注意必要 - マカフィーレポート
Duquは主要セキュリティ対策ソフトで対応可能 - 脆弱性パッチは品質重視で開発中
MS、「Duqu」対策で「Fix it」を緊急提供 - パッチは開発中、月例には含まれず
「Stuxnet」直系である「Duqu」のゼロデイ攻撃が判明 - 未修正のWindows脆弱性を悪用