IEゼロデイ脆弱性、水飲み場攻撃で利用される - 通信先は韓国

マイクロソフトは、8月19日に定例外パッチで深刻な脆弱性1件を修正した。水飲み場攻撃などゼロデイ攻撃に悪用されていたという。

今回公開された「MS15-093」は、Internet Explorerにおける脆弱性「CVE-2015-2502」を修正するセキュリティ更新。8月の月例更新からちょうど1週間というタイミングでリリースされた。

7月にもイタリアのセキュリティベンダーであるHacking Teamからの情報漏洩へ対応するために、定例外パッチ「MS15-078」が公開されており、2カ月連続の公開となる。

マイクロソフトは、ゼロデイ攻撃が確認された場合も、攻撃の発生状況、更新プログラムの品質確保など状況を踏まえてリリースを決定しており、必ずしも「定例外」で対応するわけではない。システム管理者への負担を避けるため、場合によっては次回の月例パッチを待つ場合もある。

定例外による公開を踏み切った背景には、正規サイトの改ざんや広告ネットワークを利用した攻撃などへ脆弱性を悪用された場合の影響の大きさを考慮し、踏み切ったと見られる。

マイクロソフトは脆弱性の悪用状況など具体的に言及していないが、一部セキュリティ専門家からは、ウェブサイト経由で活発に攻撃が行われているとの指摘が出ている。

またデンマークのHeimdal Securityは、今回の脆弱性が水飲み場攻撃で悪用されていたと報告した。「Iframeタグ」により、韓国のIPアドレスでホストされているページを読み込ませていたという。

さらに同ページから「Adobe Flash Player」の脆弱性「CVE-2015-5122」を攻撃するページへ遷移させ、遠隔操作ツールである「PlugX」の亜種を感染させようとしていた。

また感染後に接続するコマンド＆コントロールサーバも韓国内に設置されており、過去にPlugXを用いたAPT攻撃で悪用されたことがあるサーバだったという。

（Security NEXT - 2015/08/20 ）ツイート