Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

IEのゼロデイ脆弱性、容易に攻撃できる状態 - 悪用コード拡散のおそれ

「Internet Explorer」に未修正の脆弱性「CVE-2013-3893」が存在し、ゼロデイ攻撃が発生している問題で、NTTデータ先端技術は、脆弱性の検証を実施した。脆弱性検証ツールのモジュールが公開され、容易に悪用コードを入手できる状態で、さらに攻撃が拡大する可能性もあるという。

問題の脆弱性「CVE-2013-3893」は、「IE」の「mshtml.dll」に存在。細工が施されたウェブサイトを閲覧するとメモリが破壊され、リモートで任意のコードを実行されるおそれがある。

サポートされている「Windows」および全バージョンの「IE」が影響を受けるが、修正プログラムは開発中で、日本マイクロソフトではアドバイザリを公開し、「Fix it」や「EMET」など緩和策の適用をアナウンスしている。

今回、脆弱性の検証を行ったNTTデータ先端技術によれば、現在出回っている「攻撃コード」は、「Windows XP」上で動作する「IE 8」や、「Windows 7」上で稼働する「IE 8」および「IE 9」をメインの攻撃対象にしているという。

さらに「Windows 7 SP1」において「IE 9」と「Office」が導入された環境をターゲットとした脆弱性検証ツール「Metasploit」のモジュールも公開されており、NTTデータ先端技術ではこれを用いて脆弱性の実効性を検証。リモートからターゲットシステムの制御を奪取できることを確認した。

NTTデータ先端技術の辻伸弘氏は、今回の脆弱性について、「Metasploit」でモジュールが提供されているため、容易に悪用できる状態であると危険性を説明。攻撃者間で悪用コードを共有しやすく、攻撃が拡大するおそれがあると警鐘を鳴らしている。

また現在公開されている「Metasploit」のモジュールの攻撃対象は限定的だが、今後登場するモジュールや、別のエクスプロイトキットでは、より多くの環境を攻撃ターゲットとできる可能性があると指摘している。

さらに同氏はこれまでの傾向から、今回の脆弱性が「Blackhole」をはじめとするエクスプロイトキットに組み込まれるおそれもあり、すでに実装されている可能性もあると推測しており、従来同様、ウェブサイトの改ざんにより、誘導先での攻撃に利用される可能性が高いと見ている。

修正プログラムがリリースされておらず、暫定的な緩和策が周知されている過ぎないため、攻撃の成功率は高いと予測。現在「狙い目の脆弱性」であり、修正プログラムが公開されるまでに急増するおそれもあるとして、注意が必要だという。

(Security NEXT - 2013/10/03 ) このエントリーをはてなブックマークに追加

PR

関連記事

MS、深刻度「緊急」4件含む8件の月例セキュリティ更新を公開 - 26件の脆弱性を修正
MS月例パッチでは相関関係ない「2件」のIEゼロデイ脆弱性を修正 - いずれも日本がターゲットか
IEゼロデイ攻撃は国内20組織限定の「水飲み場攻撃」 - 低露出と未知の攻撃で発覚まで時間稼ぎ
10月のMS月例パッチは8件となる見込み - 「IE」のゼロデイ脆弱性を解消予定
国内の特定業種狙うIEゼロデイ攻撃が1カ月以上継続中 - 修正されぬ改ざんサイト
ラックがIEゼロデイ脆弱性による被害を確認 - 緩和策不可の場合は他ブラウザ利用検討を
IE狙う標的型ゼロデイ攻撃が発生 - MSが「Fix it」を公開、修正パッチも開発中