マルウェア「Duqu」の侵入経路が明らかに 13
侵入 部門より
日本は標的になっていないのであまり話題になっていないが、第2のStuxnetことマルウェア「Duqu」の侵入経路が明らかになった(マイクロソフト セキュリティ アドバイザリ、 Symantec Official Blogの記事、 本家/.)。
MicrosoftはDuquがWindowsのゼロデイ脆弱性を突いていることを11月1日に認めていたが、詳細は明らかにされていなかった。4日付で公開されたセキュリティアドバイザリ(2639658)によると、Win32k TrueTypeフォント解析エンジンの脆弱性により特権が昇格されるというものだという。Server CoreインストールのWindows Server 2008/2008 R2を除き、Windows XP以降すべてのバージョンのWindowsが影響を受ける。ハンガリーのセキュリティ企業CrySys Labが復元したDuquのドロッパーの1つはWordドキュメントで、メールに添付されたファイルを開くことで上記のゼロデイ脆弱性を利用してDuquがインストールされるものだ。このドロッパーは現在唯一確認されているもので、他のファイル形式のドロッパーが存在する可能性もあるとのこと。
現在Microsoftはこの脆弱性について調査中とのことで、9日の定期更新には間に合わないようだ。ただし、現時点では高いリスクをもたらすものではないとのこと。なお、セキュリティアドバイザリでは脆弱性のあるファイル「T2EMBED.DLL」のアクセスを拒否する手順が紹介されている。また、多くのセキュリティソフトでは既にDuquのファイル本体を検出可能となっている。
個人的に困っているのは、その名前のせいでドゥークー伯爵を思い出してしまって、羽佐間道夫つながりでQが出てきて脳内で高笑いをやめないこと。どうしたもんでしょう。
感染行為の要約 (スコア:5, 興味深い)
解析されたサンプルでは次の順に感染を行う。
1. Word文書からTrueTypeの脆弱性を突いてコード実行
2. シェルコードがデバドラとインストーラのファイルを復元する
3. デバドラ実行
4. デバドラがservice.exeにインストーラを食わせる
5. インストーラがDuquの本体を展開する
6. Duqu本体実行
0-dayが使われたのは1.で、今のところ有効な対処方法は見つかっていない。
今まで見つかったケースは日本国外の組織がターゲットになっている。
Symantec Official Blogの日本語版 [symantec.com]も出ているので、詳しくはそちらを参照。
Re: (スコア:0)
SymantecのPDF公開資料の方(w32_duqu_the_precursor_to_the_next_stuxnet.pdf)ですが、最初にレジス
トリを調べてすでにやられた後なら何もしないそうですから、やられたふりをしておけば良いというレジストリ
改変とか設定するパッチでどうなの?なんて思うんですけどね。
looking for the registry value HKEY_LOCAL_MACHINE\
SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\”CFID”. If the computer has already
been compromsed, the shellcode gracefully exits.
If the computer has not been infected, the shellcode decrypt
win2k (スコア:3, 参考になる)
>Windows XP以降すべてのバージョンのWindowsが影響を受ける
こういう書き方だと古いOSなら大丈夫と思われそう。
サポートが終了しているから評価すらされないだけでms09-029 [microsoft.com]のようにwindows 2000も影響は受けそうな気がします。
Re: (スコア:0)
これは…参考になるのか?
Windows2000 はもうネットにつながない環境でしか使うべきではないと思うのだが…
iPhoneのJailbreakme.comと (スコア:2)
フォント絡みの脆弱性 (スコア:0)
「こりゃふぉんとに困った」禁止!
Re: (スコア:0)
ふぉんとかよ
T2EMBED.DLLの脆弱性なら (スコア:0)
Webフォントをサポートしたブラウザは攻略可能じゃないの?
と思ったらアドバイザリにしっかり書かれてた。
> 攻撃者によるこの脆弱性の悪用には、ドキュメントの配布、または TrueType フォントが使用された Web ページにユーザーが訪れるようにするといった方法を含むいろいろな方法があります。
FirefoxやChromeはT2EMBEDへフォントデータを渡す前に独自の検査をしてるけどそれもすり抜けられるのかな?
10年前のOSでもまだ脆弱性が見つかるのに (スコア:0)
「Androidは一年足らずで更新止めても全部問題が修正されてるから大丈夫(ドヤァ」 [srad.jp]みたいな事言ってる人達は一体なんなんでしょうね。
Re: (スコア:0)
リンク先のコメントは、「OSのバージョン番号は上がらなくても、セキュリティパッチは出てる」と言っているように思うのですが。
むしろ古いほうが簡単に見つかる (スコア:0)
t2embedも10年以上の歴史があるコンポーネントだし。
こういうのは直しても直してもきりがないのでMicrosoftは何度も新しいソフトウェア環境に置き換えたがってるでしょ。今のところうまく行った試しはないけど。
よかったですねVista Home/Ultimateユーザー様 (スコア:0)
フォントを使わないわけにはいかないわけですから
こんな危ない脆弱性が、サポート期間が終わる前に露呈してよかった。
もし、これがあと半年後に発見されていれば
Microsoft Updateで自動更新が受けられるのは、XPと7と
Business系のVistaだけでした。
…手動更新すれば、XP,7用の修正パッチを
Vistaに適用する方法ってあるのかなぁ…
2000しかり、ね。
#Windows2000でインターネットを利用する人は、TrueTypeフォントを無効化すべき :-D
Re:よかったですねVista Home/Ultimateユーザー様 (スコア:1)
基本的に、サポートが終了していても「きわめて影響が大きいと考えられる」パターンでは例外的に更新が提供される場合があり得ます。
過去には NT4 がサポート終了後に更新が提供された事例があります。
Vista の場合は Professional/Enterprise の延長サポートフェイズは続く事からほとんど追加コストなしにこの辺りの対応が可能ですし、たとえメインストリームフェイズが終了していたとしても、共通の部分で深刻な問題があれば対応される可能性はあるでしょうね。
サポートポリシー出す前に VL 販売で Ultimate を企業向けに売っちゃってた話もありますし。
XP や 7 用の修正パッチを無理やり Vista に適用しなくても、Vista Professional 向けを無理やり適用する方がよほど素直だと思うんですけど。
# Media Center 系機能とかは素直に「7 使えよ」ですが。