パスワードを忘れた? アカウント作成
117594 submission
セキュリティ

IEをターゲットにしたゼロデイ攻撃が発生中 42

タレコミ by pluto
pluto 曰く、

各所(下部の※参照)によると、Microsoft Video ActiveX コントロールの脆弱性により、リモートでコードが実行される (972890)脆弱性を利用したゼロデイ攻撃が発生しているようだ。

なおこれは5月末に出た Microsoft DirectShow の脆弱性により、リモートでコードが実行される (971778)脆弱性とは別であることに注意。

クライアント側の対策としては IE を使用しない、もしくは Fix it による回避策の実行を行うなどがあげられる。

国内では VALUE DOMAIN のログイン ページ改ざん(2ch.net)が確認された。また VALUE DOMAIN を使用している wikiwik.jp 内でもサイトの改ざんがあり、各 wiki を閲覧したユーザーに被害が広がった模様。
wikiwiki.jp、VALUE DOMAIN ともに特に広報はなく、対処済みなのかなど現状は不明。
#タレこみ子は改ざんされた状態を確認できなかったので、どの部分に注入されたのかなど詳細は不明。
なお、Geno ウイルス同様に被害サイトはほかにも多数あると推測される。

今回の攻撃サイトでは同時に Adobe 製品の脆弱性をついたコードも実行されるが、こちらは Geno 同様に Adobe 製品の更新によって対処が可能。
なお、Adobe Reader に関してはソフトの更新のほか、JavaScript 機能をオフにすることも推奨される。

※参考サイト(順不同):
http://www3.atword.jp/gnome/2009/07/07/ie-new-zero-day/
http://ilion.blog47.fc2.com/blog-entry-140.html
http://lineage.paix.jp/guide/security/virus-site.html#VALUEDOMAIN
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2009/07.html#20090706_DirectShow
http://www.itmedia.co.jp/enterprise/articles/0907/07/news015.html

MEMO:
wikiwiki.jp関連のソースについては各所に情報が散在しているが被害者が状況を理解できていないようで、どうなっていたのかはっきりしない。
埋め込まれていたことは確実のようだけど・・・。
http://www.google.co.jp/search?q=wikiwiki.jp+%E3%83%88%E3%83%AD%E3%82%A4%E3%80%80%E3%82%A6%E3%82%A4%E3%83%AB%E3%82%B9&lr=lang_ja

http://enif.mmobbs.com/test/read.cgi/livero/1242218790/233-246

また、以下のサイトも攻撃コードが仕込まれていた模様だが現在閉鎖中で不明。
fewiki.jp

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • Vista/2008は大丈夫 (スコア:3, 参考になる)

    by Anonymous Coward on 2009年07月08日 18時57分 (#1601965)
    VistaとWindows Server2008はとりあえずは大丈夫とのこと。

    でも、そういう情報はなぜか書かないのがスラド的。
  • by Daichi_K (3005) on 2009年07月08日 9時15分 (#1601496) 日記

    wikiwiki.jpでの被害ですと。

    Mabinogi Wiki* http://mabinogi.wikiwiki.jp/ [wikiwiki.jp]によるオンラインゲーム「マビノギ」でのパスワードクラックとそれに伴う
    アイテム盗難の被害がありますね。ソースは検索してみると出てくるかもしれません。

    私自身現役マビプレーヤーで公式サイトでの被害報告などかなり聞いてます。

    • ここんところ多いですねアカウントハックの報告が。
      うちのギルメンも一人やられました。

      しかしwikiに仕込まれてたとは・・・ほぼ毎日見てたけどなー

      #Vistaだからよかったということか

      親コメント
    • by Anonymous Coward

      そのパスワードクラックと、今回の0-day攻撃は無関係じゃないのかな?

      • おもいっきり関係あるでしょう。

        今回の公表がMicrosoftから発表があったのと同時にVALUE DOMAIN以下怪しかったところは
        軒並み実は改竄受けてましたと公表してますね。

        逆に今まで原因がつかめなかったので公表してなかったということで・・・・
        それまで気がつかずにバックドア仕込まれてアカウント抜かれたという話ですよ。

        しかも仕掛けられたツールも多種多様なのでアンチウイルスで駆除も出来ないと。

        親コメント
  • Firefoxメインですが、とりあえず設定しました。

    このkill bit設定とDefenderの定義とかは副作用少ないですし、もうちょっと即応的に日次で配布してもいいかもしれないなぁ、とか思いますね。

    # 月次のUpdateはそれはそれで良いと思います。

    MS的には大変でしょうけど、がんばってくだされ。

    --
    M-FalconSky (暑いか寒い)
  • by moca (33770) on 2009年07月08日 16時08分 (#1601833) 日記

    最初からとか何かのおまけでパソコンに入ってるActiveXとかもうきりがないから
    IE上で初めて使われるActiveXは、初回にダイアログor通知バーを出すとかしたらいいんじゃないかな。

    • by MkII (26282) on 2009年07月08日 16時14分 (#1601835)
      その手の警告とかダイアログが出たって
      盲目的に「はい」を押すように飼いならされてるので
      意味ないと思います。
      親コメント
    • by Anonymous Coward

      > IE上で初めて使われるActiveXは、初回にダイアログor通知バーを出すとかしたらいいんじゃないかな。
      その機能ならすでにあります(ただしイケメンIE7以降に限る)。「ActiveXオプトイン」でぐぐってみてください。

      • Re:ActiveXの有効化 (スコア:2, 参考になる)

        by moca (33770) on 2009年07月09日 15時18分 (#1602482) 日記

        情報ありがとうございます。
        FirefoxユーザになったのでIE7以降は知りませんでした。

        ということは実質この0-dayがユーザーの許可なしに表示しただけで実行されるには
        XP以前でかつIE6以前のユーザのみ。
        ということなんですね。
        IEユーザならぜひ7,8にアップデートしてほしいところです。

        あと「ダイアログor通知バー」と書きましたが、「情報バー」とすべきでした。
        ただFirefoxのIETabユーザは情報バーが実装されていないので、どちらにせよ注意ですが。

        親コメント
        • Re:ActiveXの有効化 (スコア:1, 参考になる)

          by Anonymous Coward on 2009年07月09日 17時56分 (#1602592)

          ということは実質この0-dayがユーザーの許可なしに表示しただけで実行されるには
          XP以前でかつIE6以前のユーザのみ。
          ということなんですね。

          MicrosoftのアドバイザリではIEのバージョンやActiveXオプトインについて一切言及していなかったのでその点について確信が持てなかったのですが、ISC SANSの脆弱性情報 [sans.org]に攻撃コード(の一部)が載っていたので試してみたところ、確かに情報バーが出てブロックされました。

          ただ、ゼロデイ攻撃を受けたときにどんなメッセージが出るのかあらかじめ知っていないと「このWebサイトは、'Microsoft Corporation'からの'ActiveX control for streaming video'アドオンを実行しようとしています。Webサイトとアドオンを信頼し、アドオンの実行を許可するには、ここをクリックしてください...」というメッセージを見てうっかり実行を許可してしまうかもしれません。発行者はMicrosoftですし。

          回避策のパッチを当てると、情報バーも出ずに問答無用でブロックされます。

          親コメント
  • IEの稼働率 (スコア:1, 興味深い)

    by Anonymous Coward on 2009年07月08日 16時37分 (#1601846)
    1年365日のうち、IEに既知の脆弱性がない状態の日は、何日あるんだろうね。
    私はもう思い出せないくらい昔にActiveXとJavaScriptの全部拒否の設定をして、それっきりですよ。
    サイトごとに許可するのも、しません。信頼できるサイトなんてものは、この世に、ありゃしないのですから。

    それでIEで閲覧できなくても、かまわんのです。
    アクセス解析を適切に仕込んでいれば、JavaScriptをオフにしたIEで閲覧され、トップページから先に立ち入ってない
    ってことは、サイトの管理者には、わかるわけで。
    大勢のうちの1人だから、声に出してクレームなんてしません。ただ静かに立ち去るのみです。
    • by Anonymous Coward

      でっていう

    • by Anonymous Coward
      そういう技術的な問題のせいで見たいかもしれないもの見られないのって馬鹿らしくない? いつクラックされてもいいPCを用意しといてWWWはそっちのPCを使うとかどうですか?
      • by SteppingWind (2654) on 2009年07月09日 11時36分 (#1602302)

        それほど簡単じゃないですよ. 不可能じゃないですけど.

        基本的にどこで引っかかるか, どの程度の影響があるか分かりませんので, 1回の起動毎にクリアインストールが必要になります. 実用的にはシステムイメージを作っておいて1回毎にフルコピーし, 仮想環境をその上で立ち上げるという運用になるでしょう. それに, パスワードなどを入力する必要がある場合, その画面に至るまでになにか仕込まれる可能性が有りますから, その前にシステムの停止-イメージコピー-再起動の手順を取って, ダイレクトにURLを打ち込んで元の画面に至る必要があります. この方法だと, 直前の画面でクッキーやトランザクションIDなんかを設定するタイプのシステムではダメですけどね.

        テストとかで一発流すだけならいいけど, 日常環境とするなら, なかなか根性が必要そうな使い勝手ですが.

        親コメント
        • by KTFS (37383) on 2009年07月09日 15時53分 (#1602507) 日記
          前半に関しては普通にシンクライアント端末な気がしますが違うのでしょうか。
          --
          ドウシテオレハ、ココニイルンダ!
          親コメント
          • by Anonymous Coward
            シンクライアント端末はクリーンでも、そのシンクライアントのためにOS環境をホストしているサーバは汚染されますよ。
        • by Anonymous Coward
          仮想環境固有のセキュリティーホールだって当然ある
      • by Anonymous Coward

        それって、ゾンビ推奨ってこと?現行法だと積極的な(?)ゾンビ運用には罰則がないかもしれないが、他人に勧めるにはあまりにもモラルが低い話じゃないかな。何かの瀬戸際だと自分優先ってのでも仕方がないが、そうじゃない時は、なるべく全体の迷惑が最小になるような行動をとってほしい。

        いや、親コメのAC自身が利己的に行動するのは、多分、もう止められないんだけど、少なくとも、公に出す意見として掲げて欲しくはないな。

        • by Anonymous Coward
          何でノーガード前提みたいな捉えかたをしているんだろう。
        • by Anonymous Coward

          ちがうだろ。
          世の中の全てのOS、全てのブラウザは、全て既存のセキュリティ的な問題を抱えている。
          だったら人間側がリスク考慮しながら使うしかないって事だろ。
          その手段として、利便性を犠牲にするのも仕方無いといっているだけ。

          でもって、そういうユーザーが多くなれば、サイト側が利便性は高いかもしれないが、
          危険性も高い方法から、利便性敵意には落ちるがより安全に振った方法にも対応して
          くれる可能性も有るよね、って処か。

          複雑度が増した結果、既に「完璧に安全」なんてのは無い。
          だからそれを前提としてユーザーは行動するしかないだろう。
          別に、それは提供者の安全対策を行わなくて良い・求めなくて良いって意味じゃない。
          その上にしかユーザーの選択肢は無いって事。
          もし「完璧に安全」が存在すると思っているなら、単なる無知だろう。

      • by Anonymous Coward
        いつクラックされてもいいPCを、ネットワーク的に完全に遮断できれば、いいんですけどね。
        けっこう意外な盲点を突かれるんですよ。
        かつては危険なものはVMware上で動かしていましたが、最近は仮想マシンの脆弱性も突いてきますから。
    • by Anonymous Coward
      どのバージョンのことを言っているのかにもよるけれど、
      どのレベルが既知なのかにもよるけれど、
      たぶん、Firefoxのほうが既知の脆弱性が無い日は少ないと思うよ。
      IEはなかなか優秀だと思うね。
      • by Anonymous Coward
        Windows、IE、IIS
        これらを昔のままだと思って馬鹿にしている人の、なんと多いことか。
      • by Anonymous Coward

        こことか見ると、IE7は2年以上放置されているものが
        たくさんあるように見え、危険だなーとおもっていたんですが、
        IEのほうが安全とされるソースなどがあれば教えてください。

        http://secunia.com/advisories/product/12366/?task=advisories_2006 [secunia.com]

  • by Anonymous Coward on 2009年07月08日 14時45分 (#1601762)
    MSもIEを使うのは問題と言い始めたか
  • by Anonymous Coward on 2009年07月08日 15時33分 (#1601809)
    ちょうどさっきログインしたところだった・・・でも、firefox+noscriptでJSは完全に切ってたし、そもそもAdobe系のプラグインは無効にしてるから、大丈夫かな。
    flashは切れないけど、PDFをわざわざブラウザ上で見る必要はないしな。
  • by Anonymous Coward on 2009年07月08日 15時47分 (#1601821)
    実はActiveX使っていることが多い国だからとか?
    • by Anonymous Coward on 2009年07月08日 15時49分 (#1601822)

      その通り。

      うちの社内でも韓国サイトを仕事上みないといけないですが、ユーザーが感染しまくりで最悪・・・。

      #もちろんACで。

      親コメント
      • by Anonymous Coward
        Aサヒ新聞の方ですか?
        例の荒らしの際、そういうバイトが居るってはなし在ったよね
      • by Anonymous Coward
        そういうサイト閲覧専用のVMを配って、VMware Playerで開かせればいいんじゃない?
        文章のコピペもできるんじゃないかな。
    • by Anonymous Coward on 2009年07月08日 16時32分 (#1601843)
      http://pc.nikkeibp.co.jp/article/column/20080724/1006299/ [nikkeibp.co.jp]

      IEが99%でFirefox 3は 1%未満とまでいわれる

      韓国では簡単で便利であるという理由からセキュリティプログラムや音楽再生・動画再生ツール、ファイル添付ツールなど何でもかんでもActiveXでインストールさせるようにしてある。インターネットバンキングや音楽、動画サイトなんてActiveXをインストールしないと何にも表示されず利用できない。

      親コメント
  • by Anonymous Coward on 2009年07月08日 16時09分 (#1601834)
    だれか教えてよ。
  • by Anonymous Coward on 2009年07月08日 17時05分 (#1601876)

    いまサイト見てみると普通にみれるし、そのような事実はなかった!的なことが書いてありますね。
    タイミング悪く鯖落ちしてて、噂にまきこまれたんじゃないでしょうか。

typodupeerror

アレゲは一日にしてならず -- アレゲ見習い

読み込み中...