エフセキュアブログ

java jre 7 を含む記事

この10年の脅威環境の変化 - その2 -

この10年ほどで起きた脅威環境の変化についてお伝えする2回目です。

頻繁に標的にされる人気ソフト

ほぼすべてのソフトで脆弱性は見つかる可能性がありますが、サイバー犯罪者やその他の攻撃者が特に関心を持つのは、Javaランタイム環境(JRE)、Adobe Reader、Microsoft Office、ウェブブラウザなどの人気アプリケーションの脆弱性です。
これらのプログラムにはユーザが数百万人いることから、主要ターゲットにされています。

これらのアプリケーションの多くには既知の脆弱性が複数存在しますが、ほとんどがベンダーからリリースされたセキュリティパッチで修正されます。
しかし修正プログラムを開発し、影響のあるすべてのコンピュータに展開するまでの間は、ユーザのコンピュータは脆弱なままです。
さらに、まだパッチが公開されていない、新しい脆弱性やゼロデイ脆弱性が定期的に見つかっており、ユーザにつけ入るスキが生まれてしまいます。


エクスプロイトキットによって攻撃が容易に



BlackHole、Cool Exploit、Sweet Orangeなど、商用グレードのエクスプロイトキットの出現により、攻撃ウェブサイトを訪問してから数秒以内にユーザコンピュータのスキャンおよびエクスプロイトプロセスを自動化することが可能になりました。
これにより、サイバー犯罪者が新たな被害者にマルウェアを感染させるために必要な技術的専門知識のレベルが大幅に下がっています。
エクスプロイトキットによって、脆弱性の悪用がニッチ的活動から一般的な攻撃へと変貌しました。エクスプロイト型の方法で配布されたマルウェアの数が増えたことをきっかけに、マルウェアがコンピュータに侵入する前にインストール済プログラムの脆弱性を悪用する試みをブロックできる、オンホストセキュリティソリューション
が求められるようになりました。

g01packがシェア拡大の兆し

多段攻撃を介してペイロードを配布することが報告されたばかりのg01pack exploit kitがシェアを伸ばしているようです。
4月上旬くらいまではBlackHole exploit kitの改ざん被害が相次いでいましたが、ここ数日の間に変化が見られています。

Web Exploit Kitの統計情報を確認しますと、3月〜4月上旬までは、明らかにBlackHole exploit kitの検出率が多いことが分かります。

g02pack1

ところが、ほぼ1ヶ月が経過した4月23日頃からg01pack exploit kitの件数が増加し始めています。
#任意のスキャン結果ですので網羅性はありません。


g01pack2
参考:urlquery.netのスキャン結果より

これらの活動がBlackhole exploit kitに関係したものであるかは不明ですが、g01pack exploit kitのシェアが拡大している可能性はありそうです。
とりあえず、対応のおさらいを以下に記載します。

■端末への対応
Javaの脆弱性(CVE-2012-1723)が悪用されていることが確認されています。既に対策済みである組織が多いとは思いますが、念のため最新の脆弱性に対しても対応しておくことを推奨します。

参考URL:
Oracle Java の脆弱性対策について(CVE-2013-2383等)
https://www.ipa.go.jp/security/ciadr/vul/20130417-jre.html
2013年4月 Oracle Java SE のクリティカルパッチアップデート (定例) に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130021.html
WebブラウザでJavaを無効にするにはどうすればよいですか。
https://www.java.com/ja/download/help/disable_browser.xml


■サーバへの対応
改ざんされたウェブサイトへの対応ですが、現在のところ手口が分かっていません。基本的な対応として、
・セキュリティパッチの適用状況
・アクセス制限
・パスワードの強度
などは見直しておくと安心です。また、ホスティングサービスやクラウドサービスなどを利用している場合ですが、管理用のアプリケーション(Parallels Plesk Panelなど)も攻撃対象となりますので注意が必要です。

■IDS/IPS等での対応
g01pack exploit kitに関するシグネチャは主なセキュリティ対策製品により対応済みです。万一、対応されていない場合は、Snortなどのシグネチャを参照ください。

参考:
http://pulsifer.ca/drop/CNDA/snort/snort.doc
https://lists.emergingthreats.net/pipermail/emerging-sigs/2012-September/020415.html


昨年から続いていたBlackHole exploit kitの大規模改ざんと同様に、g01pack exploit kitも過去に大規模なウェブ改ざんにより設置した経緯があります。
恐らく一定の操作は自動化されていることが考えられ、同様の攻撃は継続して行われる可能性があります。
不正に設置されたウェブコンテンツの有無や、SSHなどのメンテナンス経路などに対策の不備が無いか再確認されることをお勧めします。
何か新しい動きがありましたら、随時追記していこうと思います。





もっとも手が届きやすい果実:Java

 コンピュータ・セキュリティ上、あらゆる評価基準において、現時点でもっとも手が届きやすい果実という称号の保持者はJavaだ(Javaという言葉で、ここではJREや各種ブラウザのプラグインも意味する)。ずっとそうだった訳ではない。どうして、こうなったのだろうか?手の届きやすい果実の歴史について、ハイライトをおさらいしよう。

2004〜2008年:WindowsからOfficeへ攻撃がシフト

2004年8月 — Windows XP Service Pack 2がリリース

2005年2月 — RSA Conferenceにてマイクロソフトが最初のベータ版Microsoft Updateをアナウンス

2005年6月 — Microsoft Updateの初回リリース

結果:Windows UpdateからMicrosoft Updateに置き換わって以降、時間と共に世の中のMicrosoft Officeの脆弱性が減った

2008〜2010年:攻撃の焦点が徐々にAdobeへ

2009年2月 — Adobe Reader has become the new IE(Adobe Readerが新たなIEになる)

From my point of view, Adobe Reader has become the new IE. For security reasons, avoid it if you can.

2009年3月 — Adobeが四半期ごとのアップデート・スケジュールを開始。「Patch Tuesday(訳注:Microsoftの定例アップデート)」と同日に入手できるようになる

  •  ASSET Blog:Adobe Reader and Acrobat Security Initiative

2009年4月 — OracleがSunを買収、Javaのオーナーに

2010年3月 — PDFベースの標的型攻撃が増加

Targeted Attacks

  •  Computerworld:Hackers love to exploit PDF bugs, says researcher

 Adobeはこのデータに驚いてはいなかった。「数多くの当社製品が相対的にユビキタスでプラットフォ―ム共通であることから、Adobeは攻撃者から注目を集めており、今後もさらに集め続けていくことになりそうだ。」

Given the relative ubiquity and cross-platform reach of many of our products…

2010年7月 — AdobeがMicrosoftのMAPPプログラムに参加

  •  ASSET Blog:Working Together: Adobe Vulnerability Info Sharing via Microsoft Active Protections Program (MAPP)

結果:Adobeがチーム・プレイヤーとなり、その成果を得た。

2010〜2013年:Javaが(複数のOSにおいて)もっとも手が届きやすい果実という称号に名乗りを上げる

2012年4月 — Adobeが「四半期ごとのアップデート」を終了し、必要に応じて毎月行うことに。マイクロソフトのアップデート・スケジュールに依然沿っている

  •  ASSET Blog:Background on Security Bulletin APSB12-08

2012年8月 — Javaランタイム環境 = 常に脆弱なマシン

2013年1月 — ZDNetのレポーターEd Bott氏が、Javaをフォイストウェアの新たな王だと断言

  •  ZDNet:A close look at how Oracle installs deceptive software with Java updates

2013年2月 — 多数の企業がJavaを原因とするセキュリティ上の欠陥を認める

  •  The Verge:After so many hacks, why won't Java just go away?

結果:ブラウザのJavaプラグインは公衆の敵ナンバーワンだと見なされる

 しかし待てよ。ブラウザのJavaプラグインを無効にするだけで十分だろうか?

2011年3月 — Spotify Freeのユーザが、悪意のある広告経由で攻撃される。少なくとも1つの攻撃で、Javaエクスプロイトが用いられる

  •  SC Magazine:Spotify in malvertising scare

 Javaを起動できるのは「ブラウザ」だけではないようだ。

2013〜201X年:Oracleが進化するか、JREが次第に重要でなくなる

 Oracleは1、4、7、10月の17日にもっとも近い火曜日にクリティカル・パッチ・アップデートをリリースしている。「Patch Tuesday」とは別の(遅い)日にこうしたアップデートをリリースすることで、今のところOracleは、IT部門に対し、パッチ・メンテナンスの評価や試験ミーティングの予定をさらに別に設定することを強いている。

 本当に何かを変えなければならない。

アップルに関連したハッキングのタイムライン

 Apple関連のハッキングには、たくさんの複雑な話が含まれる。タイムラインでおさらいしよう。

2月1日:Twitterの情報セキュリティ部門のディレクターBob Lord氏が、Twitterのブログに「Keeping our users secure」という記事を投稿。金曜日のことである。NFLのスーパーボウルがあった週末だ。Lord氏は同社がハッキングされ、結果的に25万個のアカウントのパスワードをリセットすることになったと説明した。同氏はブラウザのJavaのプラグインを無効にするようにアドバイスした。

2月1日
:アメリカ国土安全保障省のUS-CERT(United States Computer Emergency Readiness Team)は、OracleのJavaにある複数の脆弱性について警告するアラート(TA13-032A)を発した。

2月1日
:OracleがJava(JRE 7 Update 11以前)のクリティカル・パッチ・アップデートを公開。

2月4日:月曜日。当社からAppleに次のように連絡。Lord氏の投稿に基づき、Macのペイロードだと推測している。当社と共有できるサンプルをいただけないだろうか。以下はその回答。「Twitterは当社にサンプルを提供していない。」

2月4日:本ブログの「What is Java technology and why do I need it?」という投稿で、Twitterの開発者のMacが、ブラウザのJavaプラグイン経由で侵害されたのではないかと推測。また、AppleのXprotectがJava 7 Update 11(およびそれ以前)をブロックしたのかどうかという関心事とともに触れた。

2月5日:US-CERTが上述のアラートを更新。

2月7日:OracleがJava(JRE 7 Update 11以前)のクリティカル・パッチ・アップデートを予定より前倒しでリリース。対応した脆弱性の1つが「世の中で活発に悪用されている」との理由による。

2月7日:AdobeがAdobe Flash Playerのセキュリティ報告を発行。以下、その報告より。「Webサイトにホストされた悪意のあるFlash(SWF)コンテンツ経由でもたらされる、Macintoshプラットフォーム上のFirefoxまたはSafariのFlash Playerを狙った攻撃の中で、CVE-2013-0634が世間で悪用されているとの報告については、当社も認知している。〜」

Adobe APSB13-04, Firefox and Safari for Mac

ヒント:Mac用のGoogle Chromeはここからダウンロードできる。

2月8日:本ブログの記事「アップデート:MacおよびWindowsを標的にしたFlash Playerエクスプロイト」で、Lockheed MartinのCIRTがAdobeの調査に貢献したことに触れる。

2月8日:AlienVault Labsの人が「Adobe patches two vulnerabilities being exploited in the wild」ファイルというFlash Playerの脆弱性を突くWindowsベースの攻撃について解説している。

2月12日:AdobeがFlash Playerのセキュリティ・アップデートをリリース。

ヒント:自分のFlash Playerのバージョンはここで確認できる。

2月15日:Facebookのセキュリティ・チームが自身のページ上に「Protecting People On Facebook」という記事を投稿。金曜になる。米国で3連休になる直前のことだ。セキュリティ・チームは、Facebookの一部の従業員の「ラップトップ」がJavaエクスプロイト経由でハッキングされたと説明。

2月15日:FacebookのCSO(Chief Security Officer)Joe Sullivan氏がArs TechnicaのSean Gallagher氏によるインタビューを受ける。Sullivan氏は攻撃に関連するC&Cサーバは第三者によってシンクホールと化し、トラフィックによれば他にも数社影響を受けたことが示されている、と述べた。

2月15日:Macのサンプル(bookdoor)がアンチウイルスのメーリングリストで共有される。

2月18日:当社のヘルシンキを拠点とするMacアナリストBrodがbookdoorをテスト。我々はすぐに、関連のあるC&CサーバはすべてThe Shadowserver Foundationによってシンクホール化されていることを確認した。Macにおける最近の他のバックドア、たとえばウイグルの人々を標的にしたようなものは、こうした方法でシンクホール化したりはしていない。これはバックドアが法執行機関の捜査の一端であることを我々に指し示すものだ。CSOのJoe Sullivan氏が元は米国の連邦検事であることを知るに至り、我々はFacebookとのつながりを推測している。

2月18日:本ブログへの投稿「Facebookのハッキングと、モバイル・アプリ開発者への水飲み場型攻撃と、Macのマルウェア」では、いくつかの点がつながった。攻撃源は侵害されたモバイル・アプリケーション開発者のWebサイトだというFacebookの説明について触れた。

2月19日:Javaエクスプロイト経由でAppleの従業員もハッキングされていたと、ロイターが第一報を伝える。ロイターによると「この件について聞き取りを行った人は、防衛事業者を含め数百の企業が、同一の悪意のあるソフトウェアに感染した、と述べた」とのことだ。

2月19日:AllThingsDのMike Isaac氏が侵害されたモバイル・アプリケーション開発者のWebサイトはiPhoneDevSDKだと報告。

2月19日:OracleがJava(JRE 7 Update 13以前)のクリティカル・パッチ・アップデートを「特別に」リリース。これには、2月1日以降のすべての修正に加えて、「以前に配布を計画していた5件の修正」が含まれる。

2月19日:Appleがマルウェアを削除するツールを含め、セキュリティ・アップデートを公開。

2月20日:iPhoneDevSDKの管理者Ian Sefferman氏が先のAllThingsDの記事について、「この侵害について何も知らないし、侵害の可能性についてこれまでにFacebookや他の企業、法執行機関から一切の連絡を受けていない」と記載した。

iPhoneDevSDK Compromised
クリックで画像が拡大。

2月20日:複数の情報源がAppleへの攻撃が東欧から行われたことを示唆したと、ブルームバーグが報告。

公開質問

Q:AdobeはFlashを狙ったWebサイト上の攻撃について世の中に報告した。こうした攻撃は防衛事業者をターゲットにしているように見える。この水飲み場はどこにあるのか?

Q:影響を受けた企業は何社か?

Q:Shadowserverのシンクホールへ張られた、ユニークな接続の本数は?

Q:今回の類いのことが、どのくらいの期間続いていたのか?2012年10月にユーザがOS Xにアップデートした際に、AppleはMacからの、古いバージョンのJavaの削除を始めた。これは、先を見越した決断だったのか、それとも何かに反応したのか…。Macは何回危機にさらされてきたのか?

考察

 Macには実世界で15%前後のマーケットシェアがある。このようなマーケットシェアでは、Macを保有する平均的な消費者を狙った、コモディティ化された「Malware as a Service」を悪者が一括で開発するモチベーションは相対的に低くなる。自宅でMacを使う人々は、今日も昨日と同等に相対的にセキュアだ。そしてそのため、おそらくそうした人々としては理にかなったセキュリティ感覚なのだ。

 しかし「開発者の世界」では、Macはずっと高いマーケットシェアを持つ。(我々の当てずっぽうでは、シリコンバレーではおそらく85%と、現実世界を逆転しているのではないかと思う。)そのため悪者にとっては、Macベースのペイロードを組み入れた「洗練された」攻撃を行うことに、相対的に高いモチベーションが存在する。仕事にMacを使う人々は、家庭でのユーザと同じセキュリティ感覚を持つのではいけないのだ。明らかに、仕事用のMacはより標的になるのだから、その脅威レベルに見合ったいっそう高度なセキュリティ上の見込みを持たねばならない。

 「15%」の攻撃モチベーションと想定される開発者達 - 彼らのパラノイアも不十分だ - も間違ったセキュリティ感覚で作業を行っている。ビジネスごと組織ごとに再評価する時が来た。

 最低限、開発者といったプロフェッショナル達は、(生産のバックエンドへのアクセスがある)仕事と遊びを切り離すべきだ。分離したハードウェアがないなら、仮想マシンを分離する。

改訂:2月19日に、Appleのアップデートへのリンクを追加した。

 

JavaとIEのパッチ+プロンプト

 マイクロソフトはInternet Explorer 6〜8のユーザ向けに定例外のセキュリティ更新をリリースしている。

Advisory_2704220

 マイクロソフトは次のように述べている。「この問題により影響を受ける顧客の数は限定的だとみているが、将来さらに多くの顧客に影響を及ぼす可能性がある。」

 可能性ねえ。現在、このIEの脆弱性が、Blackholeのような有名なエクスプロイト・キットに組み込まれている証拠がある。できる限り早くアップデートするように。

 次はJava。すでにアップデートをしていてしかるべきものだ(仮にいまだに使っているものとして)。

 CVE-2013-0422というJava(JRE)エクスプロイトが、我々が先週検知したものの上位陣の中でどのように見えるかを以下に示す。

java0daystats

 ご覧のとおり、感染率は中程度で留まっているが、上がっている。これは、すべての人がJavaの最新バージョン(7u11)を実行しているわけではないことと、エクスプロイト・キットがバージョン・チェックを行っていることに起因する。そのため我々はJavaの以前のバージョンに対するエクスプロイトを以前にも増して目にしている。したがって、現行バージョンにアップデートすることは重要なのだ!

 加えて、オラクルは次のように述べている。「このアラートの修正点として、デフォルトのJavaのセキュリティ・レベルの設定を「中」から「高」に変更したことが含まれる。「高」の設定では、署名がなされていないJavaアプレットやJava Web Startアプリケーションが起動する前に、常にプロンプトが表示される。」

 以下がそのプロンプトだ。

Java_7u11_prompt_unsigned

 以下は自己署名したアプリケーションのプロンプトである。

Java_7u11_prompt_signed






Javaジャンキーのためのティップス

  我々が最近行ったアンケートによれば、Java Runtime Environment(JRE)をインストールしていないのは、たったの12%だった。そして残りの皆さん(88%)は多かれ少なかれJavaジャンキーだ。

Java Poll

  OK、Javaをインストールしており、ブラウザのプラグインもオンにしている41%については、少なくとも、Javaに遭遇するたび、ユーザにパーミッションを促すGoogle ChromeでJavaを使用して欲しいと思う。

Chrome, Java needs your permission to run

  あなたはFirefoxユーザだろうか? おそらくTrinh Nguyenのエクステンション「Plugins Toggler」が、ブラウザでJavaを停止するよう推奨するだろう。

Firefox extension, Plugins Toggler

  これは非常にシンプルで使いやすいツールバーボタンで、インストールしているすべてのプラグインをオープンしたり、「切り替え」たりできる。よって、デフォルトでJavaをオフにしておいても、オプションメニューを探しまわらなくても必要な時にオンにできる。

Plugins Toggler

  (専用のJava Togglerボタンエクステンションは素晴らしい。ヒント、ヒント。)

  もし今、Javaプラグインを制限したいと考えているなら、先に進もう。プラグインをみな停止してはどうだろう。(Adobe Flashでのように。)

  Google Chromeは、Content設定(chrome://chrome/settings/content)に「Click to play」のオプションが含まれる。

Chrome, Settings, Content, Plug-ins

  Firefoxはversion 14で、「Click to play」オプションが導入されたが、オンにするにはabout:configをオープンする必要がある。そしてサイトをホワイトリスト登録できるが、Chromeのように便利なセントラルロケーションからではない。そうは言っても…Firefoxではまだベータ機能であり、あまり期待できない。

Firefox, plugins.click_to_play

  完璧ではないが、かなり良い。

  Javaに関する一つの最終的な考えは、もし主要なコンピュータにJavaをインストールしたままの多数派にとどまるつもりなら、Javaは(他のプラグインと同様)バナー広告でアプリケーションから呼び出されうることを肝に銘じておくべきだ。

  Spotifyなどのアプリケーションは、サードパーティのバナー広告を介して危険や攻撃にさらされるのだ。








Oracle Java 7の脆弱性を狙った攻撃について

28日にJVNに登録されたJavaの脆弱性(0day)が話題です。
影響範囲は、Java 7 (Java SE7, JDK 7, JRE 7)となっています。
既に攻撃コードを悪用したウェブサイトも複数報告されており、警戒が必要な状況となっています。

JVNにも記載されていますが、現在のところOracle社からはセキュリティ・パッチが配布されていません。そのため、一時的な対策としてウェブブラウザのJava Plug-inを無効化することが推奨されています。

現在確認されている悪性サイトには、次のようなコードが含まれており、Javaの脆弱性を悪用後にDrive-by Downloadによりマルウェアをインストールします。
※実際はDadong's JSXX 0.44 VIPにより暗号化されています。Dadong's JSXXは過去にChinese Packと呼ばれるExploit Kitが利用していたことでも知られています。

js_java0day

今回確認された悪性サイトよりダウンロードされるマルウェアに関しては、殆どのウイルス対策ソフトウェアが対応しています。
(ちなみに、F-SecureではGen:Trojan.Heur.FU.bqW@a4uT4@bbで検出します。)
尚、筆者が確認(28日19時頃)したところ、まだ一部の悪性サイトはアクティブなようです。

【WindowsでのJava Plug-inの無効化】
IEの場合は、次のサイトの情報が参考になります。幾つか方法が紹介されていますので、参考になればと思います。

http://www.kb.cert.org/vuls/id/636312
http://kb.iu.edu/data/ahqx.html
https://krebsonsecurity.com/how-to-unplug-java-from-the-browser/
     
【MacOSXでのJava Plug-inの無効化】
OSXの場合はこちらが参考になります。
http://www.maclife.com/article/howtos/how_disable_java_your_mac_web_browser
https://krebsonsecurity.com/how-to-unplug-java-from-the-browser/

safari_javaoff
                SafariのJava Plug-in無効化の例

SANS Internet Storm Centerの記事にもある通り、セキュリティ・パッチが公開されるまで時間がかかりそうです。
The next patch cycle from Oracle isn't scheduled for another two months (October.)
恐らくWeb Exploit Packなどにも組み込まれるのも時間の問題と予測されますため、早めの対策を推奨します。特にBlackhole Exploit Kit などは非常に不気味です。

また、IPSやアンチウイルスゲートウェイなどのセキュリティ機器による対策ですが、パッと思いついた対策を3つ挙げますと、ありきたりですが次の対策を実施しては如何でしょうか。
(1)Web Exploit Packの検知ルールを確認する(念の為)
(2)既知の攻撃コードの検知ルールを適用する
(3)既知の悪性サイトをブラックリストに登録する
とりあえず、現在報告されているドメインは次の3つがあります。
ok.aa24.net
59.120.154.62
62.152.104.149

(2)はMetasploitにより生成された攻撃コードと現在確認された悪性サイトで悪用された攻撃コードの両方を想定しておいた方が良いかもしれません。
今回確認された悪性サイトに関しては、特徴としてDadong's JSXX Scriptを利用していますので、既存のSnortのルールを参考にして作成してみるのも手だと思います。
alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"ET CURRENT_EVENTS JavaScript Obfuscation Using Dadong JSXX Script"; flow:established,to_client; file_data; content:"Encrypt By Dadong"; distance:0; classtype:bad-unknown; sid:2014155; rev:2;)

今後、この脆弱性を悪用する攻撃サイトが増加することが予想されます。
現状ではウイルス対策ソフトウェアの定義ファイルを最新の状態にするなどの一般的な対策を見直すことも忘れずに実施しておきたいところです。
当面、関連情報がセキュリティ関連サイトに次々とアップデートされていくと思いますので、情報収集もお忘れなく。。。

私も効果の高い対策がありましたら、随時更新したいと思います。
ではでは。

【参考情報】
http://www.deependresearch.org/2012/08/java-7-0-day-vulnerability-information.html
http://labs.alienvault.com/labs/index.php/2012/new-java-0day-exploited-in-the-wild/
http://blog.fireeye.com/research/2012/08/zero-day-season-is-not-over-yet.html

Javaランタイム環境 = 常に脆弱なマシン

  さて皆さん…常に脆弱なマシン、OracleのJavaランタイム環境(JRE)には高度に悪用可能な新しい脆弱性(CVE-2012-4681)がある。たった今、共有化されたところなので、遠からずBlackholeのようなポピュラーなエクスプロイトキットに到達するだろう。

  また、もしあなたがJava(JRE)をインストールしているなら、そしてブラウザプラグインをオンにしているなら…ドライブバイダウンロードの危険にさらされている。我々がこれまでに調査した詳細にもとづけば、あらゆるブラウザに悪用される可能性がある(Chromeは若干、議論の余地があるようだが)。

No Java (JRE)

  そしてJava(JRE)はクロスプラットフォームのため、もし攻撃者が適切に設定したペイロードをドロップするなら…非Windows攻撃に結びつく可能性がある。

  必要としない(もしくは使っていない)なら、Java(JRE)をアンインストールして欲しい。もし必要(そしてそうしたい)なら、少なくとも使用しない時は、ブラウザのプラグインをオフにして欲しい。Javaベースのサイト閲覧だけのために、別のブラウザをインストールすることを考慮しても良いだろう。

  こうした変わらぬ脆弱性を、あなたはどのように緩和するだろうか? 以下のアンケートに回答して欲しい:




不可解なJavaエクスプロイト

  先週、Kahu SecurityがJava攻撃の拡大に関する記事をブログに掲載した。Kahuの記事は、2つのJavaエクスプロイトを分析している。

Kahu Security, Java Attacks

  第1のエクスプロイトは、最新のJava脆弱性で、イン・ザ・ワイルドで悪用されている「CVE-2012-0507」を標的とする。この脆弱性は(Windows版では)Oracleが2012年2月に修正している。私は第2のエクスプロイトの方が面白いと思う。これは明らかに何らかのJava CORBA脆弱性、おそらくはイン・ザ・ワイルドで悪用されていることはまだ知られていないJava脆弱性「CVE-2012-0506」に関係があるようだった。先週の金曜、私はこの不可解なエクスプロイトをより詳しくチェックすることにした。

  最初私は、アプレットをデコンパイルし、分析した。しかし、「CVE-2012-0506」で一般に利用可能になったエクスプロイトやPOCは無かったため、特に気付いたことは無かった。そこで私は、可能性のある脆弱性のリストを狭めるため、Java Runtime Environmentの様々なバージョンでエクスプロイトをテストしようと考えた。最新バージョン(JRE6 update 31)を試すことから始め、予想通り、同エクスプロイトは既にパッチが当てられていたため、動作しなかった。次に私は、エクスプロイトが私のテスト環境で動く事を確認するため、より以前のバージョン(JRE6u25)でテストしたところ、実際に動いた。JRE update 30をテストし、エクスプロイトが動作しなかった時、私は少々驚いた。これは同サンプルは(私が期待していたように)「CVE-2012-0506」を悪用していないという、明らかな兆候だった。JRE6u30は依然としてこの脆弱性を持っていたからだ。

  さまざまなJREをテストし続け、JRE6 update 29はこの不可解な脆弱性にパッチを当てたバージョンであると確定した。このUpdate Release Notesは、アップデートでパッチが当てられた全ての脆弱性をリストした「Oracle Java SE Critical Patch Update Advisory - October 2011」にリンクしている。私の初期解析にもとづいて、同サンプルが若干のデシリアライゼーションの問題を悪用していること、デシリアライゼーションに関連するRisk Matrixの唯一の脆弱性が「CVE-2011-3521」であることは明白だった。ZDIの報告は興味深い2つの事実を明らかにしている。第1に、脆弱性を発見したのは、最近Oracleに加わったフィンランド人Sami Koivuだった。第2に、この問題は、まさにエクスプロイトがコールするCORBAコードの一部であるIIOPデシリアライゼーションにある。これにより不可解な脆弱性は…「CVE-2011-3521」であることが裏付けられた。

  土曜日、Contagiodumpが同じサンプルについて記事を書いた。Michael SchierはContagiodumpに電子メールを送り、Kahu Securityの最初のブログ記事に関して、脆弱性は「CVE-2012-0506」というよりはむしろ「CVE-2011-3521」の可能性が高いとコメントした。

Kahu Security, Mihi

  私はMichaelが正しいことを裏付けられる。彼の記事には、同脆弱性に関するさらなる詳細が書かれている。

  Javaクライアントを最新版にアップデートするか、必要ないときには停止するか、もっと良いのは、本当に必要でないなら完全に削除することを強くお勧めする。

  Javaのバージョンは、以下から確認できる:java.com/en/download/installed.jsp

  私が分析した同エクスプロイトのSHA1ハッシュは:83a04bd183ecb9e2598da9b67417cd57bc9f14fa

  「エフセキュア アンチウイルス」は同エクスプロイトを「Exploit:Java/CVE-2011-3521.A」として検出する。

—————

では
Timo

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード