「Chrome」ゼロデイ脆弱性、水飲み場攻撃「WizardOpium作戦」に悪用

Googleがパソコン向けに提供しているブラウザ「Chrome」に脆弱性「CVE-2019-13720」が見つかった問題で、同脆弱性が「水飲み場攻撃」に悪用されていることがわかった。

「CVE-2019-13720」は、いわゆる「Use After Free」の脆弱性。最新版となる「Chrome 78.0.3904.87」にて他脆弱性とあわせて修正された。

同脆弱性を発見、報告したKasperskyによると、同脆弱性は韓国語で配信されているニュースサイトのメインページで「水飲み場攻撃」に悪用されていたという。

攻撃者は、同サイト上へシンプルな「JavaScript」を挿入。リモートより別のスクリプトを取得し、攻撃対象にあてはまるか確認し、プロファイルと一致した場合にのみ、同脆弱性を悪用して実行ファイルをダウンロード、実行させる。

問題の実行ファイルは、暗号化した上で画像ファイルに偽装。ダウンロード後に復号化され、実行されるしくみだった。感染後はコマンド＆コントロールサーバと通信し、さらに別のモジュールをダウンロードする。

（Security NEXT - 2019/11/05 ） ツイート

PR

関連記事

「Spring Cloud Data Flow」に深刻な脆弱性 - アップデートが公開
「BIND 9」の脆弱性、関連機関がアップデートを強く推奨
「Telerik Report Server」に深刻な脆弱性 - 最新版へ更新を
「VMware ESXi」「vCenter Server」に脆弱性 - 修正パッチが公開
Oktaのウェブブラウザ向けプラグインにXSS脆弱性
「GitLab」にセキュリティアップデート - 脆弱性6件を修正
米当局、「Twilio」や「IE」の脆弱性悪用に注意呼びかけ
未使用でも影響、7月修正の「IEゼロデイ脆弱性」 - 遅くとも5月に悪用
Dockerエンジンの認証プラグインに脆弱性 - CVSSは最高値だが悪用可能性は低
「BIND 9」にアップデート - DoS脆弱性4件を修正