UnderForge of Lack

Excel PDF 一太郎 とイロイロな形での脆弱性攻撃が続いているわけですが・・・

Microsoft Office PowerPoint の脆弱性により、リモートでコードが実行される

特別に細工された PowerPoint ファイルをユーザーが開いた場合、リモートでコードが実行される可能性のある Microsoft Office PowerPoint に存在する脆弱性が新たに報告されました。マイクロソフトは現在この脆弱性について調査中です。現時点で、マイクロソフトはこの脆弱性を悪用しようとする限定的な標的型攻撃のみを確認しています。


相変わらず、何言ってるのか文面から理解できない Microsoftセキュリティアドバイザリ・・・

問題を緩和する条件として

• 管理者権限でPPTを開かない
  
• 電子メールやMSNメッセなどのリンクでPPTファイルを直接アクセスしない
  
• 電子メール添付ファイルのPPTファイルを不用意に開かない
  
• MOISEを使え
  

MOISEを使えって・・暗にOffice2007にしろって言いたいんでしょうけど（笑）

-----------------------
TrendMicroによれば
New Exploit Takes on MS PowerPoint

新しいタイプのマルウェアは、Microsoft Power Pointを標的としたもので、現在はゼロデイ状態です。この脆弱性を利用した特別製のPPTファイルは、様々なスパムメッセージをばら撒くために作成されたものと思われ、攻撃を受けたユーザのＰＣにサイバー犯罪的なアクセスを誘導する可能性が有ります。

このPPTファイルTROJ_PPDROP.ABは、感染したPCのsystemのテンポラリフォルダに以下の２つのファイルをドロップします。

temp.exe -- TROJ_KUPS.F
suhost.exe -- BKDR_KUPS.F

TROJ_KUPS.Fはシステム上に Adobe Readerが見つかればそのプロセスをKILLし、レジストリ上のエントリを PPTに上書きして PDFファイルの Openを PPTに誘導します。

BKDR_KUPS.Fは Internet接続によって www.download.windowsupdate.com にアクセスを試み、通信が成立すれば以下のやり取りを行います。

• PCの情報を送信 コンピュータ名、IPアドレス、OSバージョン
  
• ディレクトリ情報の取得
  
• 感染したシステムのコンテンツをリスト化
  
• 他のマルウェアのアップデート・ダウンロード
  

windowsupdate.comって、昔むかしに（市原悦子風）閉鎖されたんじゃなかったかな？・・・

米マイクロソフト、ワーム対策でwindowsupdate.comアドレスを閉鎖 2003-08

The IP of "windowsupdate.com" could not be resolved. Please try another one.

-----------------------
McAfeeもがんばっています

Next Up: Office Exploits Reloaded

Authorが "Shinsuke Honjo" になってますので、日本のスタッフが書いたのかな？

-----------------------
いずれにせよ、「怪しいファイルを開かない」という鉄則はどんなケースでも変わりません。

This entry was posted on 日曜日, 4 月 5th, 2009 at 10:42 AM and is filed under security. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.