■MS05-048の脆弱性を悪用するJavaScriptが仕掛けられたWebサイトを発見
Trend Microは、MS05-048の脆弱性を悪用するJavaScriptが埋め込まれたWebサイトが見つかったことを報告した。このJavaScriptをMS05-048の脆弱性を悪用し、「CHM_DROPPER.CN」と呼ばれるCHMファイルを実行し、トロイの木馬などのダウンロードを仕掛ける、といった一連の攻撃が実行されるということだ。
・Trend Micro(JS_WONKA.B):
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?
VName=JS_WONKA.B
・Trend Micro(CHM_DROPPER.CN):
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?
VName=CHM_DROPPER.CN
Trend Microによれば、以下の2つのWebサイトで脆弱性を悪用するJavaScriptを発見したとしている。有名なWebサイトであっても、改ざんなどによってJavaScriptが仕掛けられる危険があるので注意が必要だ。実際に攻撃が開始されているので、至急、修正プログラムを適用した方がよい。
http://www.{BLOCKED}jigsawpuzzles.com
http://www.{BLOCKED}.biz/news.html |
・HotFix Alert MS05-048(Collaboration Data Objects(CDO)の未チェック・バッファの脆弱性により、リモートで任意のコードが実行される危険性):
http://www.hotfix.jp/archives/alert/2005/ms05-048.html
・TechNetセキュリティ情報 MS05-048(Microsoft Collaboration Data Objects の脆弱性により、リモートでコードが実行される):
http://www.microsoft.com/japan/technet/security/bulletin/ms05-048.mspx
■MS05-039の脆弱性を悪用するMocbotを検出
F-SecureとMcAfeeは、MS05-039の脆弱性を悪用するBot「Mocbot」を検出したことを報告した。Mocbotは、当初、MS05-047の脆弱性を悪用するものであるとされていたが、同じくプラグ・アンド・プイレイ・サービスの脆弱性であるMS05-039を悪用するものと両社の情報が更新された。これは、攻撃コードが類似していたためとしている。
・F-Secure(F-Secure Virus Descriptions : Mocbot.A):
http://www.f-secure.com/v-descs/mocbot.shtml
・McAfee(IRC-Mocbot):
http://vil.nai.com/vil/content/v_136637.htm
Mocbotは、攻撃用パケットを送信することで、Windows 2000/XPのプラグ・アンド・プレイ・サービスの脆弱性を悪用し、脆弱性の存在するコンピュータに感染する。その後、IRCサーバに接続し、攻撃者の命令を待ち、指示に従ってDoS攻撃を仕掛けたり、ほかのコンピュータへの感染を広げたりする。今後、さらに攻撃性を高めた亜種などの登場も懸念される。至急、修正プログラムを適用した方がよい。
・HotFix Alert MS05-039(プラグ・アンド・プレイ・サービスの未チェック・バッファの脆弱性により、リモートで任意のコードが実行される危険性):
http://www.hotfix.jp/archives/alert/2005/ms05-039.html
・TechNetセキュリティ情報 MS05-039(プラグ アンド プレイ の脆弱性により、リモートでコードが実行され、特権の昇格が行なわれる):
http://www.microsoft.com/japan/technet/security/bulletin/ms05-039.mspx
|