IEをターゲットにしたゼロデイ攻撃が発生中 42
各所(下部の※参照)によると、Microsoft Video ActiveX コントロールの脆弱性により、リモートでコードが実行される (972890)脆弱性を利用したゼロデイ攻撃が発生しているようだ。
なおこれは5月末に出た Microsoft DirectShow の脆弱性により、リモートでコードが実行される (971778)脆弱性とは別であることに注意。
クライアント側の対策としては IE を使用しない、もしくは Fix it による回避策の実行を行うなどがあげられる。
国内では VALUE DOMAIN のログイン ページ改ざん(2ch.net)が確認された。また VALUE DOMAIN を使用している wikiwik.jp 内でもサイトの改ざんがあり、各 wiki を閲覧したユーザーに被害が広がった模様。
wikiwiki.jp、VALUE DOMAIN ともに特に広報はなく、対処済みなのかなど現状は不明。
#タレこみ子は改ざんされた状態を確認できなかったので、どの部分に注入されたのかなど詳細は不明。
なお、Geno ウイルス同様に被害サイトはほかにも多数あると推測される。今回の攻撃サイトでは同時に Adobe 製品の脆弱性をついたコードも実行されるが、こちらは Geno 同様に Adobe 製品の更新によって対処が可能。
なお、Adobe Reader に関してはソフトの更新のほか、JavaScript 機能をオフにすることも推奨される。※参考サイト(順不同):
http://www3.atword.jp/gnome/2009/07/07/ie-new-zero-day/
http://ilion.blog47.fc2.com/blog-entry-140.html
http://lineage.paix.jp/guide/security/virus-site.html#VALUEDOMAIN
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2009/07.html#20090706_DirectShow
http://www.itmedia.co.jp/enterprise/articles/0907/07/news015.htmlMEMO:
wikiwiki.jp関連のソースについては各所に情報が散在しているが被害者が状況を理解できていないようで、どうなっていたのかはっきりしない。
埋め込まれていたことは確実のようだけど・・・。
http://www.google.co.jp/search?q=wikiwiki.jp+%E3%83%88%E3%83%AD%E3%82%A4%E3%80%80%E3%82%A6%E3%82%A4%E3%83%AB%E3%82%B9&lr=lang_jahttp://enif.mmobbs.com/test/read.cgi/livero/1242218790/233-246
また、以下のサイトも攻撃コードが仕込まれていた模様だが現在閉鎖中で不明。
fewiki.jp
Vista/2008は大丈夫 (スコア:3, 参考になる)
でも、そういう情報はなぜか書かないのがスラド的。
Re: (スコア:0)
つまりFirefoxは無視するということですね分かります!
#情報の正確性と個人の趣味をごっちゃにする輩は消えて欲しい。
Re: (スコア:0)
Re: (スコア:0)
wikiwiki.jpでの被害 (スコア:2, 興味深い)
wikiwiki.jpでの被害ですと。
Mabinogi Wiki* http://mabinogi.wikiwiki.jp/ [wikiwiki.jp]によるオンラインゲーム「マビノギ」でのパスワードクラックとそれに伴う
アイテム盗難の被害がありますね。ソースは検索してみると出てくるかもしれません。
私自身現役マビプレーヤーで公式サイトでの被害報告などかなり聞いてます。
Re:wikiwiki.jpでの被害 (スコア:1)
ここんところ多いですねアカウントハックの報告が。
うちのギルメンも一人やられました。
しかしwikiに仕込まれてたとは・・・ほぼ毎日見てたけどなー
#Vistaだからよかったということか
Re: (スコア:0)
そのパスワードクラックと、今回の0-day攻撃は無関係じゃないのかな?
Re:wikiwiki.jpでの被害 (スコア:1)
おもいっきり関係あるでしょう。
今回の公表がMicrosoftから発表があったのと同時にVALUE DOMAIN以下怪しかったところは
軒並み実は改竄受けてましたと公表してますね。
逆に今まで原因がつかめなかったので公表してなかったということで・・・・
それまで気がつかずにバックドア仕込まれてアカウント抜かれたという話ですよ。
しかも仕掛けられたツールも多種多様なのでアンチウイルスで駆除も出来ないと。
kill bill^H^H^H^Hbit設定 (スコア:1)
Firefoxメインですが、とりあえず設定しました。
このkill bit設定とDefenderの定義とかは副作用少ないですし、もうちょっと即応的に日次で配布してもいいかもしれないなぁ、とか思いますね。
# 月次のUpdateはそれはそれで良いと思います。
MS的には大変でしょうけど、がんばってくだされ。
M-FalconSky (暑いか寒い)
ActiveXの有効化 (スコア:1)
最初からとか何かのおまけでパソコンに入ってるActiveXとかもうきりがないから
IE上で初めて使われるActiveXは、初回にダイアログor通知バーを出すとかしたらいいんじゃないかな。
Re:ActiveXの有効化 (スコア:1)
盲目的に「はい」を押すように飼いならされてるので
意味ないと思います。
解雇通知 (スコア:4, おもしろおかしい)
>盲目的に「はい」を押すように飼いならされてるので
>意味ないと思います。
そしてこんな攻撃にさらされる。
人間の脆弱性を突いた攻撃 [atmarkit.co.jp]
Re: (スコア:0)
> IE上で初めて使われるActiveXは、初回にダイアログor通知バーを出すとかしたらいいんじゃないかな。
その機能ならすでにあります(ただし
イケメンIE7以降に限る)。「ActiveXオプトイン」でぐぐってみてください。Re:ActiveXの有効化 (スコア:2, 参考になる)
情報ありがとうございます。
FirefoxユーザになったのでIE7以降は知りませんでした。
ということは実質この0-dayがユーザーの許可なしに表示しただけで実行されるには
XP以前でかつIE6以前のユーザのみ。
ということなんですね。
IEユーザならぜひ7,8にアップデートしてほしいところです。
あと「ダイアログor通知バー」と書きましたが、「情報バー」とすべきでした。
ただFirefoxのIETabユーザは情報バーが実装されていないので、どちらにせよ注意ですが。
Re:ActiveXの有効化 (スコア:1, 参考になる)
MicrosoftのアドバイザリではIEのバージョンやActiveXオプトインについて一切言及していなかったのでその点について確信が持てなかったのですが、ISC SANSの脆弱性情報 [sans.org]に攻撃コード(の一部)が載っていたので試してみたところ、確かに情報バーが出てブロックされました。
ただ、ゼロデイ攻撃を受けたときにどんなメッセージが出るのかあらかじめ知っていないと「このWebサイトは、'Microsoft Corporation'からの'ActiveX control for streaming video'アドオンを実行しようとしています。Webサイトとアドオンを信頼し、アドオンの実行を許可するには、ここをクリックしてください...」というメッセージを見てうっかり実行を許可してしまうかもしれません。発行者はMicrosoftですし。
回避策のパッチを当てると、情報バーも出ずに問答無用でブロックされます。
IEの稼働率 (スコア:1, 興味深い)
私はもう思い出せないくらい昔にActiveXとJavaScriptの全部拒否の設定をして、それっきりですよ。
サイトごとに許可するのも、しません。信頼できるサイトなんてものは、この世に、ありゃしないのですから。
それでIEで閲覧できなくても、かまわんのです。
アクセス解析を適切に仕込んでいれば、JavaScriptをオフにしたIEで閲覧され、トップページから先に立ち入ってない
ってことは、サイトの管理者には、わかるわけで。
大勢のうちの1人だから、声に出してクレームなんてしません。ただ静かに立ち去るのみです。
Re: (スコア:0)
でっていう
Re: (スコア:0)
Re:IEの稼働率 (スコア:1)
それほど簡単じゃないですよ. 不可能じゃないですけど.
基本的にどこで引っかかるか, どの程度の影響があるか分かりませんので, 1回の起動毎にクリアインストールが必要になります. 実用的にはシステムイメージを作っておいて1回毎にフルコピーし, 仮想環境をその上で立ち上げるという運用になるでしょう. それに, パスワードなどを入力する必要がある場合, その画面に至るまでになにか仕込まれる可能性が有りますから, その前にシステムの停止-イメージコピー-再起動の手順を取って, ダイレクトにURLを打ち込んで元の画面に至る必要があります. この方法だと, 直前の画面でクッキーやトランザクションIDなんかを設定するタイプのシステムではダメですけどね.
テストとかで一発流すだけならいいけど, 日常環境とするなら, なかなか根性が必要そうな使い勝手ですが.
Re:IEの稼働率 (スコア:1)
ドウシテオレハ、ココニイルンダ!
Re: (スコア:0)
Re: (スコア:0)
Re:IEの稼働率 (スコア:1)
うん. 突き詰めて考えれば, 1回の使用ごとに電源を抜いてBIOSクリアから始めないとダメですね.
Re: (スコア:0)
それって、ゾンビ推奨ってこと?現行法だと積極的な(?)ゾンビ運用には罰則がないかもしれないが、他人に勧めるにはあまりにもモラルが低い話じゃないかな。何かの瀬戸際だと自分優先ってのでも仕方がないが、そうじゃない時は、なるべく全体の迷惑が最小になるような行動をとってほしい。
いや、親コメのAC自身が利己的に行動するのは、多分、もう止められないんだけど、少なくとも、公に出す意見として掲げて欲しくはないな。
Re: (スコア:0)
Re: (スコア:0)
ちがうだろ。
世の中の全てのOS、全てのブラウザは、全て既存のセキュリティ的な問題を抱えている。
だったら人間側がリスク考慮しながら使うしかないって事だろ。
その手段として、利便性を犠牲にするのも仕方無いといっているだけ。
でもって、そういうユーザーが多くなれば、サイト側が利便性は高いかもしれないが、
危険性も高い方法から、利便性敵意には落ちるがより安全に振った方法にも対応して
くれる可能性も有るよね、って処か。
複雑度が増した結果、既に「完璧に安全」なんてのは無い。
だからそれを前提としてユーザーは行動するしかないだろう。
別に、それは提供者の安全対策を行わなくて良い・求めなくて良いって意味じゃない。
その上にしかユーザーの選択肢は無いって事。
もし「完璧に安全」が存在すると思っているなら、単なる無知だろう。
Re: (スコア:0)
けっこう意外な盲点を突かれるんですよ。
かつては危険なものはVMware上で動かしていましたが、最近は仮想マシンの脆弱性も突いてきますから。
Re: (スコア:0)
どのレベルが既知なのかにもよるけれど、
たぶん、Firefoxのほうが既知の脆弱性が無い日は少ないと思うよ。
IEはなかなか優秀だと思うね。
Re: (スコア:0)
これらを昔のままだと思って馬鹿にしている人の、なんと多いことか。
Re: (スコア:0)
こことか見ると、IE7は2年以上放置されているものが
たくさんあるように見え、危険だなーとおもっていたんですが、
IEのほうが安全とされるソースなどがあれば教えてください。
http://secunia.com/advisories/product/12366/?task=advisories_2006 [secunia.com]
クライアント側の対策 (スコア:0)
VD... (スコア:0)
flashは切れないけど、PDFをわざわざブラウザ上で見る必要はないしな。
韓国でアタックされているというのは (スコア:0)
Re:韓国でアタックされているというのは (スコア:4, 興味深い)
その通り。
うちの社内でも韓国サイトを仕事上みないといけないですが、ユーザーが感染しまくりで最悪・・・。
#もちろんACで。
Re: (スコア:0)
例の荒らしの際、そういうバイトが居るってはなし在ったよね
Re: (スコア:0)
文章のコピペもできるんじゃないかな。
Re:韓国でアタックされているというのは (スコア:1, 参考になる)
IEが99%でFirefox 3は 1%未満とまでいわれる
韓国では簡単で便利であるという理由からセキュリティプログラムや音楽再生・動画再生ツール、ファイル添付ツールなど何でもかんでもActiveXでインストールさせるようにしてある。インターネットバンキングや音楽、動画サイトなんてActiveXをインストールしないと何にも表示されず利用できない。
アンチウイルス系の対応はどうなの? (スコア:0)
Re:アンチウイルス系の対応はどうなの? (スコア:3, 参考になる)
トレンドマイクロはこれっぽい。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=JS_D... [trendmicro.co.jp]
Re:アンチウイルス系の対応はどうなの? (スコア:1, 参考になる)
McAfeeはこれかな?
http://www.mcafee.com/japan/security/virE.asp?v=Exploit-MSDirectShow.b [mcafee.com]
fewiki.jp (スコア:0)
いまサイト見てみると普通にみれるし、そのような事実はなかった!的なことが書いてありますね。
タイミング悪く鯖落ちしてて、噂にまきこまれたんじゃないでしょうか。