エフセキュアブログ : by：レスポンスチーム

　メンバーの何人かがジュネーブで開催の「VB2009」に出かけて留守にしてしており、Labでは忙しい1週間だった。

　ようやく金曜日。家族や友達と過ごす週末がやって来た。そこでちょっとしたお楽しみを。

　皆さん、8GBのiPod touchと1年間のエフセキュアオンラインバックアップを獲得したくないですか？　興味あるでしょう？

　ならばエフセキュアのFacebookページをチェックして欲しい。

　このプロモーションは、何か「かけがえのないもの」の写真をアップロードし、シェアするというものだ。

　以下のタイソンのような写真だ：

Tyson

　タイソンはLabのあるメンバーにとって、非常にかけがえのない存在だ。

　皆さんの写真を拝見するのを楽しみにしている。詳細についてはここをクリックして欲しい。

送信者：不明

2009年09月14日16:32

　silentservices.deのMichael Mullerが、ある種のスマートフォンに、MMSメッセージで送信者を不明にすることが可能なバグを発見した。

　このセキュリティ報告によれば、攻撃者は送信者のナンバーを隠蔽したMMSメッセージを作成することができるという。このことは基本的に、脅威や詐欺、スパムなどを送信する連中にフリーパスを与える可能性がある。自身のナンバーが報告されたり、露出されたりする心配が無いためだ。

　また理論的に、攻撃者はURLを含むMMSを使用して、デバイス上にコンテンツを自動ダウンロードすることも可能だ。これに対する主要な障害は、自動ダウンロードはデバイスが接続するサービス・プロバイダに完全に依存しているという点だ。

　Mullerによれば、「プロバイダのMMSプロキシ以外のコンテンツURLにアクセスすることができないMMSクライアントは、そのコンテンツに対して安全だが、送信者の隠蔽に対して脆弱であることに変わりはない。」

　同バグは6月に発見されたものだが、完全な開示は2009年9月11日にようやく行われた。このバグは以下のデバイスでテストされている：

– Blackberry（BB 8800、ファームウェア：4.5.0.37）
– Windows Mobile（WM5、WM6、WM6.1、WM6.5）
– Sony Ericsson W890i、W810i

　詳細については以下を参照のこと：http://www.silentservices.de/adv04-2009.html

投稿はChristineによる。

9月のMicrosoft Updates

2009年09月09日00:44

　今日は第2火曜日、すなわちMicrosoft Updatesの日だ。

　今月の「Security Bulletin」（英語）には、遠隔的に悪用可能な5つの脆弱性について詳述されている。

　これら5種の脆弱性は、すべて深刻度「緊急」で、Windowsのさまざまなプラットフォームが影響を受ける。影響を受ける脆弱性には、Scripting JScript、ActiveXコントロール、メディア・フォーマット・ファイル読み込みコンポーネント、およびWLAN AutoConfig Serviceがある。

　しかし、大きな問題はTCP/IPスタック処理の脆弱性だ。これは「T2'08」カンファレンスでJack C. LouisとRobert E. Leeにより論じられたものだ。

　悲しいことに、Jackは彼の仕事が公開されるのを見ずに他界した。

　詳細についてはCERT.FIを参照のこと。

Twitterでつぶやいて「Nikon D60 SLR」をゲット

2009年09月07日22:48

　皆さん、

　「エフセキュアインターネットセキュリティ 2010」（そして我々の新しいブランディング）の誕生を祝うため、エフセキュアはコンテストを開催します：

　Twitterの http://twitter.com/FSecure をフォローし、ここにあるフレーズをつぶやくだけで、「Nikon D60 SLR」などのプレゼントにご参加頂けます。

「Online Backup 2.1.0 Beta」を公開

2009年09月01日21:48

　「Online Backup」の新バージョンを公開した。Version 2.0については、3月にここでお知らせしている。

　そして7月、エフセキュアは当時のテクノロジー・パートナーであったSteekを買収した。

　さて、今回「Online Backup」のVersion 2.1.0が登場した。

　以下は、プロジェクト・マネージャからのメッセージだ：

　最新の「Online Backup」の試用に関心がおありだろうか？　我々はベータ・パイロットを公開したばかりで、正式リリース前にお試し頂ける！　

　この新バージョンには、新しい特性や機能性がいくつか追加されている：

  •  Windows 7をサポート
  •  マウスの右ボタンでファイルをクリックすることにより、即座にバックアップできる右クリックバックアップ
  •  どのファイルをバックアップしたかが見やすくなった。既にバックアップされたファイルのアイコンには、グリーンのマーカーが付く（Windows版のみ）
  •  新たなローカライゼーション：スペイン語、ブラジル系ポルトガル語、スロベニア語

　バックアップしたファイルにどこからでもアクセスできるWebポータルもある。

　詳細および登録フォームは、「Beta Programs」ページにある。

　ぜひフィードバックを頂きたいのでお早めに。よろしく！

0wn1ng Delphi

2009年08月18日12:21

　最近、Delphiを標的としたマルウェアにより使用されている、興味深い動きが発見された。

　同マルウェアは始めに、Delphiのバージョンが4から7までの間であるかどうかをチェックし、次に$DELPHI_DIR$¥source¥rtl¥sys¥SysConsts.pasを入れ替え、悪意あるコードを書き込む。その後にSysConsts.pasは削除される。

　このマルウェアは、SysConsts.dcuのクリーンなコピーをSysConst.bakとして保存し、SysConsts.dcuライブラリのエントリーポイントで、それ自身のイニット・ファンクションにコールを追加する。

　プログラムが感染したバージョンのSysConsts.dcuでコンパイルされると、以下のような悪意あるコードの断片のようなものが混入する：

delphi-virus3

　その後は、コンパイル済みのプログラムが実行されると、SysConst.bakが見あたらなければ、プログラム中の悪意あるコードがDelphiを再感染させようとする。

　この場合、同マルウェアは基本的に、Delphiを確実に感染させておこうとしているわけだが、このようなメカニズムは、マルウェアを拡散させる目的で修正することも可能だ。

　我々は現在、同マルウェアを「Virus.Win32.Induc.a」として検出している。

　同様の発見が以下でも報告されている：http://gunsmoker.blogspot.com/2009/08/delphi-delphi.html （ロシア語）

Facebookファンに登録して無料ラップトップ・ステッカーをゲット

2009年08月08日01:35

　我々は昨日、「F-Secure Labs」のFacebookページを公開した。

　そこで、昨日そのことに触れようと考えていたのだが…

　お読みになったかもしれないが、ちょうどFacebookが（DDoS）問題に遭遇していた。

　いずれにせよ、皆さん、Facebookのアカウントをお持ちだろうか？　持っている？　ならばLabのページの「Become a Fan」に皆さんをご招待したい。

　我々はこのページを、Labの様子を内側から紹介するために使用するつもりだ。我々のコンテンツに気軽に参加して頂きたい。

　皆さんのご参加を促すべく、人気のラップトップ・ステッカーのプレゼントを行う。皆さんも何枚か入手してみてはいかがだろうか？

ファーストステップ：我々のページのファンに登録する。簡単だ。

セカンドステップ：我々にポストカードを郵送する。どこからであろうと、どんなポストカードでも構わない。これも簡単だ。

Postcards

送付先アドレスは以下の通り：

F-Secure Labs
Tammasaarenkatu 7
00181 Helsinki
Finland

　ポストカードにあなたの住所を書いてくれれば、9月初旬にステッカーの郵送を開始する。簡単でしょう？

　受付は先着順で、在庫が無くなるまで受け付ける。

—————

P.S.　投函する前に、LabのFacebookページに皆さんのポストカードの画像をアップロードして欲しい…　そうすれば9月に行う別のプレゼントに参加できる。よろしく！

Office Webコンポーネントの脆弱性に対する防御

2009年07月15日07:09

　昨日、Microsoft Office Webコンポーネントに関し、新たな脆弱性がアナウンスされた。そこで、自動ダウンロードに使用される可能性がある、すべての新しいエクスプロイトについて、エフセキュアISTPおよびExploitShieldでチェックしてみたところ、またもやExploitShieldは何らアップデートする必要なく、ユーザーを防御することが分かった。以下のビデオで、Internet Explorer 6およびInternet Explorer 8とともにISTPがインストールされている際の、同エクスプロイトの様子をご覧頂ける。

HTCのBluetoothに遠隔的に悪用可能なホール

2009年07月15日00:11

　この1月、Windows Mobile 6 OBEX FTPサービスに興味深い脆弱性が発見された。

　このリサーチの著者であるAlberto Moreno Tabladoが先頃、我々に最新情報を知らせてくれた。

Tabladoによれば：

　「同脆弱性は最初、Windows Mobile 6のMicrosoft Bluetooth Stack全体の問題として、2009年1月に発見されたものだ。しかし、さらに調査したところ、この問題はHTCによりインストールされたサードパーティーのドライバにあることが分かった。Microsoftは、影響を受けたOBEX FTPサーバドライバが、Windows Mobileで動作するデバイスにHTCがインストールした、サードパーティーのドライバであり、同脆弱性はこのベンダにのみ影響を与え、他のベンダのWindows Mobileデバイスは影響を受けないことを発表した。」

　さらに、1月には脆弱なデバイスは攻撃者との間でペアリングが必要と考えられていたが、Tabladoは現在、これ（この要件）を回避するために、Bluetoothペアリングのスニッフィング、リンクキー・クラッキング、MACアドレスのなりすましなど、より洗練された攻撃が使用される可能性があると述べている。.

OBEX directory traversal display, screenshot from seguridadmobile.com

OBEX directory traversal display, screenshot from seguridadmobile.com

　脆弱であると報告されているのは以下のデバイスだ：

  •  HTC devices running Windows Mobile 6 Professional
  •  HTC devices running Windows Mobile 6 Standard
  •  HTC devices running Windows Mobile 6.1 Professional
  •  HTC devices running Windows Mobile 6.1 Standard

　詳細はSeguridad MobileのWebサイトを参照して欲しい。

　Tablado氏が我々に、この非常に興味深いリサーチの最新情報を知らせてくれたことに感謝する。

「Sexy Space」Symbianワーム

2009年07月09日22:11

　ZDNetのZero DayブログでDancho Danchevが、Transmitter.Cに関する興味深い記事を投稿している。Transmitter.Cは、我々が2月に記事を掲載したSexy View SMSワームの大幅な改良と思われるものだ。

　我々が「Worm:SymbOS/Yxe.D」と呼んでいる、この新たな亜種の分析を行ったが、我々の観点から言えば、当初検出した時と大きな違いはなかった。

　1つのことを除いては…

　このYxe.D亜種は、さらに別の企業の証明書で署名されているのだ。

yxe.d certificate info

　というわけで、今やS60 3rd Edition端末にはSymbian認可のワームが2種類存在する。

　詳細については、Worm:SymbOS/Yxeについての説明をご覧頂きたい。

エフセキュア ISTPとMSVIDCTL.DLLのゼロデイ脆弱性

2009年07月07日08:54

　前回の投稿で言及した通り、Microsoft ActiveX Video Controlに、より具体的に言うならmsvidctl.dllファイルに、新たなゼロデイ脆弱性が発見された。Microsoftは現在、同脆弱性に関するアドバイザリを発表しており、それによればキルビットを、45ある脆弱なCLSIDすべて使用不可に設定するよう推奨している。同脆弱性はドライブバイダウンロードでアクティブに使用されているので、そうするのは良い考えだ。あるいは、アップデートすること無くこの問題を防御する、我々のISTP かExploitShieldの無料ベータ版をダウンロードして頂いても良い。

　我々はF-Secure Internet Security Technology Preview（来るべき2010年の製品）と、そのBrowsing Protectionを今回の新しいエクスプロイトに試してみたが、見事に対処することがわかった。何らアップデートする必要無く、同エクスプロイトをブロックしたのだ。この包括的なエクスプロイト・プロテクションは、現状のExploitShield自身のままで、非常に素晴らしいものだ。

　以下は、ISTPが新たな脆弱性に対してどのように機能し、同防御テクノロジの一部を使用不可にすると何が起きるかを示すビデオだ。

Rai.TV NeaPOLIS

2009年05月26日20:26

　我々は先頃、イタリアのテレビRaiのテクノロジー番組、neaPOLISのイタリア人レポーターを迎えた。

　イタリア語が話せる方は、ここからクリップが視聴できる…　我々のHelsinki Security Labをご覧になりたい場合もどうぞ。

新型インフルエンザをテーマにした標的型攻撃

2009年05月25日22:02

以前は豚インフルエンザと呼ばれていたH1N1（新型）インフルエンザは、流行のピークこそ今月初旬だったが、今もニュースをにぎわせ続けている。

悪意ある攻撃で、H1N1をテーマにしたものはそれほど広まってはいないものの、限定された使用はいくつか見かけている。我々のハニーポットが先週集めてきた事例をご紹介しよう。

これは悪意あるPDFファイルだ（何一つ新しいところは無い）。

このPDFを開くと、これはAdobe Readerを利用してバックドアを仕込み、H1N1インフルエンザに言及するファイルを示す。

以下がスクリーンショットだ。

H1N1

この舞台裏で何が起きているのだろうか？　このエクスプロイトは「AcrRd32.exe」という名の悪意あるファイルを、コンピュータの一時フォルダに仕込む。

この悪意あるファイルは、「call home」するため3種のIPアドレスに接続する。これらのアドレスは、テキサス（207.200.45.12）、ブダペスト（89.223.181.93）およびハイデラバード（202.53.69.130）にある、もしくはあった。

この攻撃の対象とされた個人については不明だ。