[FFRI] Internet Explorer 0-day脆弱性 vs FFR yarai

■ 保護ツールを無償提供

掲載日	: 2009年11月23日
最終更新日	: 2009年12月13日

2009年12月13日追記:
本脆弱性は、「Internet Explorer 用の累積的なセキュリティ更新プログラム (976325)」にて2009年12月9日に修正されました。パッチを適用する事で本脆弱性は修正され、攻撃を受けなくなります。なお、本保護ツールをインストールされていた方は、パッチ適用後にアンインストールしてください。

参考:http://www.microsoft.com/japan/technet/security/bulletin/ms09-072.mspx

以下は、2009年11月23日時点の情報です。現時点ではパッチが公開されているため、0-day脆弱性ではなく修正済みの既知脆弱性となりました。

1. Internet Explorer 6/7 にパッチ未発表の0-day脆弱性が公開される

　2009年11月21日、Security Focus社の運営するBugtraqメーリングリストにて、Internet Explorer 7のセキュリティ脆弱性の攻撃コード(Exploit)と見られる投稿がありました。フォティーンフォティ技術研究所にて調査した結果、本攻撃コードはInternet Explorer 7のセキュリティ脆弱性を攻撃するものであり、現在パッチがリリースされていない0-day脆弱性の攻撃コードである事が分かりました。

　日本語環境のWindowsにも有効であり、また、非常に安定的に攻撃できる事から、マルウエアなどの実攻撃に転用される危険性があります。

　そこでフォティーンフォティ技術研究所では、Microsoftのパッチがリリースされるまでの間、本脆弱性を狙った攻撃からシステムを防御するための保護ツール(Internet Explorer用プラグイン)を無償提供致します。

2. 確認された脆弱性の概要と対策

　本脆弱性は Microsoft HTML Viewer DLL (mshtml.dll) に存在しており、2009年11月23日時点のInternet Explorer 6、および7に影響します。脆弱なInternet Explorerにて攻撃コードが設置されているWebサイトを閲覧すると、閲覧ユーザーの権限で攻撃者が設置したマシンコードが実行されてしまいます(Internet Explorer 8は、本脆弱性の影響を受けない事を確認しました)。

　　本脆弱性がマルウエア攻撃に悪用された場合、「Webサイトを閲覧しただけで感染」する可能性があります。このタイプのセキュリティ脆弱性は、GumblarのようなWebマルウエアに悪用されやすいため、注意が必要です。

　　本脆弱性に対するパッチはリリースされていませんが、Internet Explorerのバージョンを「8」にアップグレードする事で問題を回避できます。可能であれば、Internet Explorerのアップグレードを実施してください。アップグレードが困難な場合は、Javascriptの実行を無効とする事で問題を回避できます

　上記の対処が困難である場合、フォティーンフォティ技術研究所が提供する以下の保護ツール(フリーウエア)をインストールしてください。本ツールは、プラグインとしてインストールされた後、mshtml.dllの脆弱性発生箇所に対してランタイムにバイナリメモリパッチングを行い、攻撃を検知します。攻撃が検知されると、Internet Explorerを強制終了し、攻撃コードの実行を防止します。

ダウンロード : Setup.msi (2,140,672 Byte)

MD5: 5B3B568A4249BBA7AA3F0B993313193E

　　本ツールは、Internet Explorer 7のプラグインとしてシステムにインストールされます。動作環境は以下の通りです。　

Webブラウザ : Internet Explorer 7 　
OS : Windows XP, Windows 2003, Windows Vistaの各エディション　
mshtml.dll バージョン : 7.00.6000.16939 (vista_gdr.091019-0119)、7.00.6001.18344 (vistasp1_gdr.091019-0119)

　
本ツールがインストールされると、以下に本ツールのログファイルが生成されます。

C:\Documents and Settings\ユーザー名\Application Data\FFR\Protect_getElementsByTagName_vuln\logfile.txt

　注意事項 　

mshtml.dllのファイルバージョンは、上記の特定バージョンのみ対応しています。他のバージョンのmshtml.dllがインストールされているシステムには、本ツールはインストールできません(インストール時にエラーメッセージが表示されます)。他のバージョンのmshtml.dllについては、随時対応予定です。　
インストール後は、Internet Explorerを再起動してください。　
Microsoftからのパッチがリリース後は、本ツールをコントロールパネルからアンインストールしてください(パッチ適用後は、本ツールは動作しなくなります)。　
本ツールはサポート対象外です。　
本ツールはフォティーンフォティ技術研究所によって、”現状のまま” 提供されるものとします。本ツールについては、明示黙示を問わず、商用品として通常そなえるべき品質をそなえているとの保証も、特定の目的に適合するとの保証を含め、何の保証もなされません。事由のいかんを問わず、損害発生の原因いかんを問わず、且つ、責任の根拠が契約であるか厳格責任であるか (過失その他) 不法行為であるかを問わず、仮にそのような損害が発生する可能性を知らされていたとしても、本ツールの使用から発生した直接損害、間接損害、偶発的な損害、特別損害、懲罰的損害または結果損害のいずれに対しても (代替品またはサービスの提供; 使用機会、データまたは利益の損失の補償; または、業務の中断に対する補償を含め) 責任をいっさい負いません。

　
3. 脆弱性の詳細

　既に攻撃コードが公開メーリングリストに投稿されています[記事]。分析の結果、mshtml.dll内に実装されている CLayout::GetFirstDispNode メソッドにて不適切な関数コールを発生させる脆弱性である事が分かりました。コール先は固定のアドレスを示しますが、通常、コール先には攻撃者がコントロールできるメモリ領域は存在しません。

　しかし、投稿された攻撃コードでは、予めJavascriptで巨大なメモリを確保し、その中に、大量のNOP(何もしない命令)と攻撃用マシンコード(Shellcode)を格納する事で、コール先のメモリ領域をコントロールし、Shellcodeを実行しています(Heap Spraying法)。これにより、安定的に攻撃を成立させることができます。以下に、投稿された攻撃コードがHeap Sprayingにより攻撃コードを実行している様子を示します。

　

図 1 攻撃コードの実行

　　Bugtraqに投稿された攻撃コードのShellcode部を改造する事で、2009年11月23日時点でパッチが全て適用されたWindows XP SP3(日本語版)、Windows Vista Business SP1(日本語版)、およびWindows Server 2003 SP2(日本語版)にて攻撃コードが動作する事を確認しました。本脆弱性は以下に示す特徴があり、過去の経緯からGumblarのようなWebマルウエアに悪用される危険性が高いと言えます。　

0-day脆弱性　
安定的に攻撃可能　
OSのバージョンに依存しない攻撃コードが作成可能　
攻撃が成立する前に警告などが一切表示されない　
実行するマシンコードのキャラクタ制限が無い　
実行できるマシンコードのサイズが十分

4. IE 0-day vs FFR yarai

　本脆弱性を利用するサンプルHTMLが設置された検証用Webサイトを作成し、FFR yaraiが動作しているWindows XP SP3(日本語版) + Internet Explorer 7、Windows Vista Business SP1(日本語版) + Internet Explorer 7、およびWindows Server 2003 SP2(日本語版) + Internet Explorer 7にて閲覧した結果、2009年5月のFFR yarai発売時以降全てのバージョンで検知・ブロックできる事を確認しました。

　本脆弱性攻撃は、FFR yaraiに搭載されているZDPエンジン(未知脆弱性検知エンジン)で検知・ブロックされたものであり、エンジンリリースの約半年後に公になった0-day脆弱性攻撃を的確に防御できていた事が確認されました。

図 2 FFR yaraiでの検知