忍者ブログ
プロフィール
HN:
Jamaica
性別:
男性
自己紹介:
個人の備忘録とかも兼ねて、セキュリティのこととか書けたらいいなって思ってます。
あと、和訳した文章については勝手にやってるものなので転載とかはいいですが、クレームはやめてくださいね。
ブログ内検索
カテゴリー
未選択(0)
Security(0)
ひとりごと(0)
[US-CERT] Alert(2)
[US-CERT] Vulnerability Note(3)
最新記事
[US-CERT] VU#673343
(06/08)
[US-CERT] TA13-141A
(05/25)
[US-CERT] VU#774103
(05/18)
[US-CERT] TA13-134A
(05/18)
[US-CERT] VU#237655
(05/12)
最新コメント
RSS
RSS 0.91
RSS 1.0
RSS 2.0
リンク
管理画面
新しい記事を書く
フリーエリア
いろいろやってみたい
<<   2024   05   >>
 1  2  3  4  5  6  7  8  9  10  11  12  13  14  15  16  17  18  19  20  21  22  23  24  25  26  27  28  29  30  31 
07 May 2024            [PR]  |   |
×

[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。



↓クリックしていただけると助かります。(詐欺とかじゃないんで。。。)

25 May 2013            [US-CERT] TA13-141A  |  [US-CERT] Alert  |  Comment:0  |
原文はこちら

Alert (TA13-141A)
Washington, DC Radio Station Web Site Compromises
Original release date: May 20, 2013 | Last revised: May 22, 2013

影響を受けるシステム

Microsoft Windows システム上で動作する Adobe Reader、Acrobat または Oracle Java

概要

US-CERT は2013年5月16日、both www.federalnewsradio.com および www.wtop.com の両サイトで Internet Explorer のユーザをエクスプロイトキットへリダイレクトするよう改ざんされているとの通報を受けました。US-CERT の解析では、2013年5月17日の時点で、これらのサイトには悪意あるコードが存在していないことを確認しています。

説明

侵害された Web サイトは、隠された iframe を挿入されることで、ユーザにダイナミック DNS ホスト上の JavaScript コードを参照させるよう改ざんされていました。この参照先のサイトから返されたファイルは、Fiesta Exploit Kit のものであることが特定されています。このエクスプロイトキットは、以下のような既知の脆弱性のひとつを悪用することで、実行形式ファイルのダウンロードを試みます。

 ・CVE-2009-0927: Stack-based buffer overflow in Adobe Reader and Adobe Acrobat
 ・CVE-2010-0188: Unspecified vulnerability in Adobe Reader and Acrobat
 ・CVE-2013-0422: Multiple vulnerabilities in Oracle Java 7 before Update 11

脆弱なバージョンの Adobe Reader、Acrobat または Oracle Java を使用しているシステムでアクセスすることで侵害されます。

影響

リダイレクトに成功すると、このエクスプロイトキットは ZeroAccess Trojan の亜種を送信し、実行します。オープンソースの報告によれば、このマルウェアは FakeAV/Kazy マルウェアをダウンロードし、インストールします。
ZeroAccess Trojan は、二つのハードコードされたコマンドアンドコントロールアドレス(194.165.17.3 および 209.68.32.176)のひとつへの誘導を試みます。この誘導では、User-Agent に Opera/10 の設定された HTTP GET リクエストが発生します。
誘導後、このマルウェアは細工された Microsoft Cabinet ファイルをダウンロードし、16464/udp ポートを使用してピアツーピアネットワークに接続します。この Cabinet ファイルは、いくつかの IP アドレスのリストと偽の Flash インストーラを含んでいます。

対策

アップデートを適用してください

この問題に関連する脆弱性を修正するアップデートされたソフトウェアは以前から利用可能です。これらの脆弱性は攻撃者によく悪用されるため、ソフトウェアを最新版にアップデートすることが必要不可欠です

 ・Adobe は、Adobe Security Bulletins APSB09-04 および APSB10-07 のそれぞれで Adobe Reader
  および Acrobat の脆弱性(CVE-2009-0927 および CVE-2010-0188)を修正するアップデートを
  提供しています。

 ・Oracle は、Java の脆弱性を修正する Oracle Security Alert for CVE-2013-0422
  リリースしています。

さらなる脆弱性に対する防御のために、最新版の Adobe Reader、Acrobat および Oracle Java をインストールしてください。この記事の公開時点において、Adobe Reader および Acrobat の最新版のセキュリティアップデートは Adobe Security Bulletin APSB13-15 より、Java の最新版である Java 7 Update 21 は Oracle Java SE Critical Patch Update Advisory - April 2013 より参照可能です

感染したシステムを特定してください

感染したシステムからの潜在的な動作を特定するために、以下の IP アドレス宛のアクティビティを監視してください。

 ・194.165.17.3
 ・209.68.32.176

参考情報

 ・WTOP and Federal News Radio Websites Back After Cyber Attack
 ・K.I.A. - WTOP.com, FedNewsRadio and Tech Blogger John Dvorak Blog Site Hijacked - Exploits Java and Adobe to Distribute Fake A/V
 ・Stack-based buffer overflow in Adobe Reader and Adobe Acrobat
 ・Unspecified vulnerability in Adobe Reader and Acrobat
 ・Adobe Security Bulletin APSB09-04
 ・Adobe Security Bulletin APSB10-07
 ・Adobe Security Bulletin APSB13-15
 ・Multiple vulnerabilities in Oracle Java 7 before Update 11
 ・Oracle Security Alert for CVE-2013-0422
 ・Oracle Java SE Critical Patch Update Advisory - April 2013

Revisions

Initial release
Updated Solution section


↓クリックしていただけると助かります。(詐欺とかじゃないんで。。。)
PR

Coment Form
Name

Title

Mailadress

URL

Font Color
Normal   White
Comment

Password


<<   HOME    6  5  4  3  2   >>
忍者ブログ/[PR]

Template by coconuts