各位
複数の脆弱性を使用する攻撃ツール MPack に関する注意喚起
MPack: Web Site Exploit Tool Targets Web Browsers and Applications
http://www.jpcert.or.jp/at/2007/at070016.txt
I. 概要
MPack と呼ばれる攻撃ツールの被害が主に海外で増加しています。
既存の攻撃ツールと比較して管理プログラムの機能が多く、最新の脆弱性を攻撃するための攻撃コードを後から追加可能です。MPack は海外の Web サイトで販売されており、入手が比較的容易であるという点から、今後国内でも
MPack を用いた攻撃が急増することが懸念されます。
サーバ管理者は Web サイトが踏み台として使用されていないことを確認し、エンドユーザは既知の脆弱性への対応を行ってください。
II. 詳細
1. MPack のプログラム構成
MPack は大きく以下の2つのプログラムから構成されています。
A: Web サーバ上で稼働する MPack の管理プログラム
B: 被害者のコンピュータ上で実行される攻撃コード
攻撃者は B の攻撃コードを Web サーバ上に配置し、何らかの手段で被害
者をその Web サーバに誘導します。
2. 攻撃のシナリオ
MPack を使用した代表的な攻撃のシナリオは以下の通りです。
ステップ 1: 攻撃者は何らかの手段で Web サーバに侵入する
ステップ 2: 攻撃者は HTML 文書に MPack の 攻撃コードを読み込ませる
ための iframe を記述する
ステップ 3: ステップ 2 で iframe が記述された HTML 文書を閲覧した
被害者は、自動的に MPack の 攻撃コードを開いてしまう
ステップ 4: MPack の 攻撃コードは被害者がアクセスした際に OS やブ
ラウザを判別し、被害者のコンピュータの脆弱性を攻撃する
ステップ 5: 被害者のコンピュータに MPack が対象とする脆弱性が存在
する場合、攻撃者が準備した悪意のあるプログラムが実行さ
れる
上記の他に、スパムによる誘導や Web サイトのクロスサイトスクリプティ
ング脆弱性を使用する等の手法が考えられます。
3. MPackが使用する脆弱性
JPCERT/CC の分析結果では、MPack は下記の脆弱性を攻撃に使用する可能
性があります。
- MS06-014, CVE-2006-0003
MDAC の脆弱性
- MS06-006, CVE-2006-0005
Windows Media Player の脆弱性
- MS06-044, CVE-2006-3643
Microsoft 管理コンソール (MMC) の脆弱性
- MS06-071, CVE-2006-5745
XML コアサービスの脆弱性
- MS06-057, CVE-2006-3730
Window シェルのリモートコードの脆弱性
- CVE-2006-5198, VU#512804
WinZip 等の FileView AcviveX コントロールに複数の脆弱性
- CVE-2007-0015, JVNTA07-005A, VU#442497
Apple QuickTime の脆弱性
- MS07-017, CVE-2007-0038
Windows のアニメーションカーソルの脆弱性
また、今後も MPack へのモジュールの追加によって、新たな脆弱性が使
用される可能性があります。
III 対策
MPack に対して JPCERT/CC では以下の対策を推奨いたします。
[サーバ管理者]
Web サイトで公開中のコンテンツが改ざんされていないことを確認してく
ださい。改ざんが確認された場合、サーバが第三者に侵入されている可能
性も含め、調査を行うことをご検討ください。
MPack を使った攻撃では、管理している Web サーバの HTML 文書に以下
のような特徴を持つ iframe を挿入されるケースがあります。国内でもそ
のような事例が複数確認されています。
特徴 1: 見知らぬドメイン、または IP アドレスを参照する iframe
特徴 2: style=#&39;visibility: hidden;#&39; としブラウザに表示されない iframe
[エンドユーザ]
現在確認されている MPack は修正済みの脆弱性を使用しています。以下
の対策を行うことで、被害にあう可能性を減らすことが可能です。
- OS とアプリケーションを最新の状態に保つ
- ウイルス対策ソフトを使用する
IV 参考情報
iframeについて:
Frames in HTML documents
http://www.w3.org/TR/html401/present/frames.html
MS06-014, CVE-2006-0003
Microsoft Data Access Components (MDAC) の機能の脆弱性により、コードが実行される可能性がある
http://www.microsoft.com/japan/technet/security/Bulletin/MS06-014.mspx
MS06-006, CVE-2006-0005
Windows Media Player の脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/Bulletin/MS06-006.mspx
MS06-044, CVE-2006-3643
Microsoft 管理コンソール (MMC) の脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/Bulletin/MS06-044.mspx
MS06-071, CVE-2006-5745
XML コアサービスの脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/Bulletin/MS06-071.mspx
MS06-057, CVE-2006-3730
Window シェルのリモートコードの脆弱性
http://www.microsoft.com/japan/technet/security/Bulletin/MS06-057.mspx
CVE-2006-5198, VU#512804
WinZip 等の FileView AcviveX コントロールに複数の脆弱性
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-5198
CVE-2007-0015, JVNTA07-005A, VU#442497
Apple QuickTime の Real Time Streaming Protocol(RTSP)処理にバッファオーバフローの脆弱性
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0015
MS07-017, CVE-2007-0038
Windows のアニメーションカーソルのリモートでコードが実行される
http://www.microsoft.com/japan/technet/security/bulletin/ms07-017.mspx
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
==============================
JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
http://www.jpcert.or.jp/
JPCERT-AT-2007-0016
JPCERT/CC
2007-06-28
JPCERT/CC Alert 2007-06-28
複数の脆弱性を使用する攻撃ツール MPack に関する注意喚起
MPack: Web Site Exploit Tool Targets Web Browsers and Applications
http://www.jpcert.or.jp/at/2007/at070016.txt
I. 概要
MPack と呼ばれる攻撃ツールの被害が主に海外で増加しています。
既存の攻撃ツールと比較して管理プログラムの機能が多く、最新の脆弱性を攻撃するための攻撃コードを後から追加可能です。MPack は海外の Web サイトで販売されており、入手が比較的容易であるという点から、今後国内でも
MPack を用いた攻撃が急増することが懸念されます。
サーバ管理者は Web サイトが踏み台として使用されていないことを確認し、エンドユーザは既知の脆弱性への対応を行ってください。
II. 詳細
1. MPack のプログラム構成
MPack は大きく以下の2つのプログラムから構成されています。
A: Web サーバ上で稼働する MPack の管理プログラム
B: 被害者のコンピュータ上で実行される攻撃コード
攻撃者は B の攻撃コードを Web サーバ上に配置し、何らかの手段で被害
者をその Web サーバに誘導します。
2. 攻撃のシナリオ
MPack を使用した代表的な攻撃のシナリオは以下の通りです。
ステップ 1: 攻撃者は何らかの手段で Web サーバに侵入する
ステップ 2: 攻撃者は HTML 文書に MPack の 攻撃コードを読み込ませる
ための iframe を記述する
ステップ 3: ステップ 2 で iframe が記述された HTML 文書を閲覧した
被害者は、自動的に MPack の 攻撃コードを開いてしまう
ステップ 4: MPack の 攻撃コードは被害者がアクセスした際に OS やブ
ラウザを判別し、被害者のコンピュータの脆弱性を攻撃する
ステップ 5: 被害者のコンピュータに MPack が対象とする脆弱性が存在
する場合、攻撃者が準備した悪意のあるプログラムが実行さ
れる
上記の他に、スパムによる誘導や Web サイトのクロスサイトスクリプティ
ング脆弱性を使用する等の手法が考えられます。
3. MPackが使用する脆弱性
JPCERT/CC の分析結果では、MPack は下記の脆弱性を攻撃に使用する可能
性があります。
- MS06-014, CVE-2006-0003
MDAC の脆弱性
- MS06-006, CVE-2006-0005
Windows Media Player の脆弱性
- MS06-044, CVE-2006-3643
Microsoft 管理コンソール (MMC) の脆弱性
- MS06-071, CVE-2006-5745
XML コアサービスの脆弱性
- MS06-057, CVE-2006-3730
Window シェルのリモートコードの脆弱性
- CVE-2006-5198, VU#512804
WinZip 等の FileView AcviveX コントロールに複数の脆弱性
- CVE-2007-0015, JVNTA07-005A, VU#442497
Apple QuickTime の脆弱性
- MS07-017, CVE-2007-0038
Windows のアニメーションカーソルの脆弱性
また、今後も MPack へのモジュールの追加によって、新たな脆弱性が使
用される可能性があります。
III 対策
MPack に対して JPCERT/CC では以下の対策を推奨いたします。
[サーバ管理者]
Web サイトで公開中のコンテンツが改ざんされていないことを確認してく
ださい。改ざんが確認された場合、サーバが第三者に侵入されている可能
性も含め、調査を行うことをご検討ください。
MPack を使った攻撃では、管理している Web サーバの HTML 文書に以下
のような特徴を持つ iframe を挿入されるケースがあります。国内でもそ
のような事例が複数確認されています。
特徴 1: 見知らぬドメイン、または IP アドレスを参照する iframe
特徴 2: style=#&39;visibility: hidden;#&39; としブラウザに表示されない iframe
[エンドユーザ]
現在確認されている MPack は修正済みの脆弱性を使用しています。以下
の対策を行うことで、被害にあう可能性を減らすことが可能です。
- OS とアプリケーションを最新の状態に保つ
- ウイルス対策ソフトを使用する
IV 参考情報
iframeについて:
Frames in HTML documents
http://www.w3.org/TR/html401/present/frames.html
MS06-014, CVE-2006-0003
Microsoft Data Access Components (MDAC) の機能の脆弱性により、コードが実行される可能性がある
http://www.microsoft.com/japan/technet/security/Bulletin/MS06-014.mspx
MS06-006, CVE-2006-0005
Windows Media Player の脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/Bulletin/MS06-006.mspx
MS06-044, CVE-2006-3643
Microsoft 管理コンソール (MMC) の脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/Bulletin/MS06-044.mspx
MS06-071, CVE-2006-5745
XML コアサービスの脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/Bulletin/MS06-071.mspx
MS06-057, CVE-2006-3730
Window シェルのリモートコードの脆弱性
http://www.microsoft.com/japan/technet/security/Bulletin/MS06-057.mspx
CVE-2006-5198, VU#512804
WinZip 等の FileView AcviveX コントロールに複数の脆弱性
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-5198
CVE-2007-0015, JVNTA07-005A, VU#442497
Apple QuickTime の Real Time Streaming Protocol(RTSP)処理にバッファオーバフローの脆弱性
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0015
MS07-017, CVE-2007-0038
Windows のアニメーションカーソルのリモートでコードが実行される
http://www.microsoft.com/japan/technet/security/bulletin/ms07-017.mspx
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
==============================
JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
http://www.jpcert.or.jp/
前
コメント
共 有
