IEのゼロデイ脆弱性を攻撃するコードが公開される
Microsoftが修正パッチを提供する時期は未定Internet Explorer(IE)の未パッチの脆弱性を突くエクスプロイト・コードが3月10日に公開された。このエクスプロイト・コードを公開したのは、イスラエルのセキュリティ専門家モシュ・ベン・アブ(Moshe Ben Abu)氏。
アブ氏は、米国McAfeeの10日付けのブログを参考に、IEの未パッチの脆弱性を実際に悪用した攻撃コードを手に入れ、これを基に、広く使われているオープンソースのセキュリティ検証フレームワーク「Metasploit」に対応する有効な攻撃モジュールを作成した。アブ氏nによれば、攻撃コードからMetasploitモジュールを作るのにかかった時間は「ほんの数分」だったという。
同氏のエクスプロイト・コードは10日、開発チームによるレビューを経てMetasploitツリーに追加されたと、Metasploitの生みの親でセキュリティ企業Rapid7の最高セキュリティ責任者(CSO)、HDムーア(HD Moore)氏は認めた。同氏によると、アブ氏はこの3カ月に10種類のエクスプロイト・モジュールをMetasploitに提供したという。
MicrosoftはIE 6とIE 7の脆弱性について、3月9日に公開したセキュリティ・アドバイザリで初めてユーザーに注意を呼びかけた。こうしたセキュリティ・アドバイザリの公開は、エクスプロイト・コードや攻撃の存在が明らかになったことを受けてパッチが公開されるプロセスの第1ステップだ。
10日までに、いくつかのウイルス対策ソフトウェア・ベンダーが、ハッカーがIE 6とIE 7の未パッチの脆弱性を悪用し、悪意あるサイトからドライブバイ攻撃を仕掛けていると報告していた。アブ氏が見つけたコードも、こうしたサイトでホストされていた。
アブ氏が作成したエクスプロイト・コードは、Windows Vista(SP2)とIE 7が稼働し、パッチがすべて適用されたPC、およびWindows XP(SP3)とIE 6またはIE 7が稼働するマシンで機能する。同氏によれば、攻撃の成功率は60〜75%とのことだ。
Metasploitのムーア氏も、ほぼ同意見だ。「われわれのテストでは、このエクスプロイトはWindows XP SP3とIE7が動作し、DEP(データ実行防止)機能が無効に設定されているPCに対して最もうまく機能する。成功率は60%近くだ」と同氏。
セキュリティ専門家の多くが、エクスプロイト・コードの公開、特に、普及しているMetasploitへの追加は、そのコードを使った攻撃の増大につながると考えている。また、エクスプロイト・コードの公開を受け、Microsoftは緊急パッチをリリースすると予想している。
「エクスプロイトの公開が、Microsoftがパッチを出すタイミングを左右することがよくある」と、nCircle Network Securityのセキュリティ担当ディレクター、アンドリュー・ストームズ(Andrew Storms)氏は述べている。
Microsoftは、今回のIEの脆弱性を修正するパッチのスケジュールを明らかにしていないが、次の月例パッチ公開日である4月13日より前に、緊急パッチを公開する可能性もある。現時点で同社が示している対処方法は、「Iepeers.dllのアクセス制御リスト(ACL)を変更する」「ブラウザのスクリプトを無効にする」「DEPを有効にする」といったことだ。ただし、根本的な対処法は、IE 8へのアップグレードだという。
(Gregg Keizer/Computerworld米国版)
