-----BEGIN PGP SIGNED MESSAGE----- 各位 JPCERT-AT-2007-0016 JPCERT/CC 2007-06-28 <<< JPCERT/CC Alert 2007-06-28 >>> 複数の脆弱性を使用する攻撃ツール MPack に関する注意喚起 MPack: Web Site Exploit Tool Targets Web Browsers and Applications http://www.jpcert.or.jp/at/2007/at070016.txt I. 概要 MPack と呼ばれる攻撃ツールの被害が主に海外で増加しています。 既存の攻撃ツールと比較して管理プログラムの機能が多く、最新の脆弱性を 攻撃するための攻撃コードを後から追加可能です。MPack は海外の Web サイ トで販売されており、入手が比較的容易であるという点から、今後国内でも MPack を用いた攻撃が急増することが懸念されます。 サーバ管理者は Web サイトが踏み台として使用されていないことを確認し、 エンドユーザは既知の脆弱性への対応を行ってください。 II. 詳細 1. MPack のプログラム構成 MPack は大きく以下の2つのプログラムから構成されています。 A: Web サーバ上で稼働する MPack の管理プログラム B: 被害者のコンピュータ上で実行される攻撃コード 攻撃者は B の攻撃コードを Web サーバ上に配置し、何らかの手段で被害 者をその Web サーバに誘導します。 2. 攻撃のシナリオ MPack を使用した代表的な攻撃のシナリオは以下の通りです。 ステップ 1: 攻撃者は何らかの手段で Web サーバに侵入する ステップ 2: 攻撃者は HTML 文書に MPack の 攻撃コードを読み込ませる ための iframe を記述する ステップ 3: ステップ 2 で iframe が記述された HTML 文書を閲覧した 被害者は、自動的に MPack の 攻撃コードを開いてしまう ステップ 4: MPack の 攻撃コードは被害者がアクセスした際に OS やブ ラウザを判別し、被害者のコンピュータの脆弱性を攻撃する ステップ 5: 被害者のコンピュータに MPack が対象とする脆弱性が存在 する場合、攻撃者が準備した悪意のあるプログラムが実行さ れる 上記の他に、スパムによる誘導や Web サイトのクロスサイトスクリプティ ング脆弱性を使用する等の手法が考えられます。 3. MPackが使用する脆弱性 JPCERT/CC の分析結果では、MPack は下記の脆弱性を攻撃に使用する可能 性があります。 - MS06-014, CVE-2006-0003 MDAC の脆弱性 - MS06-006, CVE-2006-0005 Windows Media Player の脆弱性 - MS06-044, CVE-2006-3643 Microsoft 管理コンソール (MMC) の脆弱性 - MS06-071, CVE-2006-5745 XML コアサービスの脆弱性 - MS06-057, CVE-2006-3730 Window シェルのリモートコードの脆弱性 - CVE-2006-5198, VU#512804 WinZip 等の FileView AcviveX コントロールに複数の脆弱性 - CVE-2007-0015, JVNTA07-005A, VU#442497 Apple QuickTime の脆弱性 - MS07-017, CVE-2007-0038 Windows のアニメーションカーソルの脆弱性 また、今後も MPack へのモジュールの追加によって、新たな脆弱性が使 用される可能性があります。 III 対策 MPack に対して JPCERT/CC では以下の対策を推奨いたします。 [サーバ管理者] Web サイトで公開中のコンテンツが改ざんされていないことを確認してく ださい。改ざんが確認された場合、サーバが第三者に侵入されている可能 性も含め、調査を行うことをご検討ください。 MPack を使った攻撃では、管理している Web サーバの HTML 文書に以下 のような特徴を持つ iframe を挿入されるケースがあります。国内でもそ のような事例が複数確認されています。 特徴 1: 見知らぬドメイン、または IP アドレスを参照する iframe 特徴 2: style='visibility: hidden;' としブラウザに表示されない iframe [エンドユーザ] 現在確認されている MPack は修正済みの脆弱性を使用しています。以下 の対策を行うことで、被害にあう可能性を減らすことが可能です。 - OS とアプリケーションを最新の状態に保つ - ウイルス対策ソフトを使用する IV 参考情報 iframeについて: Frames in HTML documents http://www.w3.org/TR/html401/present/frames.html MS06-014, CVE-2006-0003 Microsoft Data Access Components (MDAC) の機能の脆弱性により、コードが実行される可能性がある http://www.microsoft.com/japan/technet/security/Bulletin/MS06-014.mspx MS06-006, CVE-2006-0005 Windows Media Player の脆弱性により、リモートでコードが実行される http://www.microsoft.com/japan/technet/security/Bulletin/MS06-006.mspx MS06-044, CVE-2006-3643 Microsoft 管理コンソール (MMC) の脆弱性により、リモートでコードが実行される http://www.microsoft.com/japan/technet/security/Bulletin/MS06-044.mspx MS06-071, CVE-2006-5745 XML コアサービスの脆弱性により、リモートでコードが実行される http://www.microsoft.com/japan/technet/security/Bulletin/MS06-071.mspx MS06-057, CVE-2006-3730 Window シェルのリモートコードの脆弱性 http://www.microsoft.com/japan/technet/security/Bulletin/MS06-057.mspx CVE-2006-5198, VU#512804 WinZip 等の FileView AcviveX コントロールに複数の脆弱性 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-5198 CVE-2007-0015, JVNTA07-005A, VU#442497 Apple QuickTime の Real Time Streaming Protocol(RTSP)処理にバッファオーバフローの脆弱性 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0015 MS07-017, CVE-2007-0038 Windows のアニメーションカーソルのリモートでコードが実行される http://www.microsoft.com/japan/technet/security/bulletin/ms07-017.mspx 今回の件につきまして当方まで提供いただける情報がございましたら、ご連 絡ください。 ====================================================================== JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL: 03-3518-4600 FAX: 03-3518-4602 http://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBRoNzFox1ay4slNTtAQE/7AP/UyrBC7r9fWb4XwuA6XnwmPwtD2zSj6M/ qbbV48KGP9FzqPfqjRqfoxDZTKliF6fbjGOesEoH3k0CxAbXTV8BjG+HCJMwOXSu TESW1HSwCi5yveckbpCaaoZsbGGjW63oTi4CpKlgPdlK76Xv28n8P7n7TBoR0bPd 4IYZpk+dwfM= =RD1g -----END PGP SIGNATURE-----