Archive for 3 月 10th, 2010

[EMERGENCY] ゼロデイ攻撃 @ IE6/7

Posted in Announce, News, security on 3 月 10th, 2010 by gnome

EMERGENCY #
IE6およびIE7において、ゼロデイ脆弱性が確認され、すでに一部の標的型攻撃に利用されていることがマイクロソフトより発表されました。

[981374] Internet Explorer の脆弱性により、リモートでコードが実行されるInternet Explorer 6 および Internet Explorer 7 に存在する新たな脆弱性が報告され、マイクロソフトはその報告を現在調査中です。マイクロソフトの調査で、最新バージョンのブラウザーである Internet Explorer 8 は影響を受けないことを確認しています。この脆弱性の主な影響はリモートでのコードの実行です。このアドバイザリでは、この問題に対する回避策および問題を緩和する要素とともに、影響を受ける Internet Explorer のバージョンに関する情報を提供しています。
現時点で、マイクロソフトはこの脆弱性を悪用しようとする標的型攻撃を確認しています。

緩和策:

・Internet Explorer 8 は、この脆弱性による影響を受けません。
・Windows Vista およびそれ以降の Windows オペレーティング システム上の保護モードでは攻撃要件が制限されます。
・Microsoft Outlook、Microsoft Outlook Express および Windows メールは、ユーザーが電子メール メッセージのリンクをクリックすると、Web ベースの攻撃シナリオで悪用した脆弱性の影響を受ける可能性があります。既定の「制限付きサイト ゾーンで開く」の設定になっていることを確認してください。

いつもどおり、IE6は真っ赤、XP+IE7も危険という状況です。Vista+IE7は、保護モードを除外しないでください。

Secunia指標が、久々の 5 = 真っ赤となっています。
Internet Explorer Unspecified Code Execution Vulnerability 5
A vulnerability has been reported in Internet Explorer, which can be exploited by malicious people to compromise a user's system.
The vulnerability is caused due to an unspecified use-after-free error and can be exploited by e.g. tricking a user into viewing a specially crafted web page.
Successful exploitation allows execution of arbitrary code.
NOTE: The vulnerability is currently being actively exploited.
Reported as a 0-day.

New Internet Explorer code-execution attacks go wild
IE 6 and 7 users targeted

New Microsoft IE zero-day flaw under attack
If you must use Internet Explorer, the following workarounds are available:
Modify the Access Control List (ACL) on iepeers.dll
Set Internet and Local intranet security zone settings to “High” to block ActiveX Controls and Active Scripting in these zones
Configure Internet Explorer to prompt before running Active Scripting or to disable Active Scripting in the Internet and Local intranet security zone
Enable DEP for Internet Explorer 6 Service Pack 2 or Internet Explorer 7

keep safe yourself!
EoF

Leave A Comment »

2010.03.10 水曜日

Posted in security on 3 月 10th, 2010 by gnome

東京都平和の日
1945年、東京大空襲により、死者約10万人、焼失家屋約27万戸という、第二次大戦で最大級の被害を出した日。都民ひとりひとりが平和について考える日。
陸軍記念日
日露戦争奉天会戦で日本軍が勝利した。尚、現在はこの記念日は廃止されている。
山陽新幹線全通記念日 [1975年]
東海道・山陽新幹線食堂車がこの日限りで廃止された日 [2000年]
水戸の日 「み(3)と(10)」
ミントの日 「ミ(3)ント(10)」
佐渡の日 「さ(3)ど(10)」
砂糖の日 「さ(3)とう(10)」

呪いの解けた日
1985年の阪神タイガース優勝時に道頓堀川に投棄されたカーネル・サンダース人形が、2009年に 24年ぶりに再発見された。

----------
皮肉ですね #
今月は「緊急」もなく、平和なパッチ日かなぁとかタカを括っていたのですが・・・
2010 年 3 月のセキュリティ情報
[MS10-016] Windows ムービー メーカーの脆弱性により、リモートでコードが実行される (975561)
[MS10-017] Microsoft Office Excel の脆弱性により、リモートでコードが実行される (980150)

March 2010 Security Bulletin Release
Today we are releasing two Important security bulletins addressing eight vulnerabilities in Windows and Microsoft Office. Both bulletins have an aggregate Exploitability Index rating of “1” so we recommend that customers deploy these updates as soon as possible.
とりあえず、IE問題は置いておくとして、パッチの適用を行いましょう。

追加された項目:
[MS09-033] Virtual PC および Virtual Server の脆弱性により、特権が昇格する (969856)
2010/03/10: このセキュリティ情報を更新し、影響を受けるソフトウェアに Microsoft Virtual Server 2005 を追加しました。 その他の更新プログラムについては、この再リリースによる影響はありません。

VBScript の脆弱性により、リモートでコードが実行される(981169)
の「F1問題」は絶賛放置中ですが、現時点で悪用された形跡はないようです。

Microsoft Releases March Security Bulletin
Microsoft Patch Tuesday - March 2010
March 2010 - Microsoft Patch Tuesday Diary
SANSはExcel脆弱性を Criticalにレーティングしていますね。

March Patch Tuesday …. pay attention Mac users
As such, Mac Microsoft Office users will need to download and install an update to protect themselves.
Mac版Officeのユーザもアップデートを各自で行う必要があります。パッチ忘れが無いように気をつけてください。

----------
CVE-2010-0188 in the wild #
CVE-2010-0188: Patched Adobe Reader Vulnerability is Actively Exploited in the Wild
ついこの間、Reader 9.3.1によって塞がれた CVE-2010-0188 が攻撃に使用されていることをMSが確認、最新パッチを充てるように警報を出しています。

他所のことを突っ込むと自分の足元に火がつくのは、何かの法則なんでしょうね

ともあれ、Adobe (Acrobat) Reader を使用中の方は、バージョン9.3.1 にアップデートされていることを再確認してください。
Security updates available for Adobe Reader and Acrobat -- Feb.16

Exploit:Win32/Pidief.AX
SHA1:908ae499a474e3006253417c658e055a633e75a1
Win32/Pidief.AY
14/42 (33.33%) 2010.03.09 22:45:08 (UTC)
ペイロード:
TrojanDownloader:Win32/Qaantiz.A

参考:
It's official: Adobe Reader is world's most-exploited app
The new Microsoft
(苦笑)
PDF Based Targeted Attacks are Increasing

----------
「ガンブラー」型 #
コンピュータ利用者に知ってほしいGumblar型攻撃の影響、シマンテックの見解
とうとうZeuSも「ガンブラー」のカテゴリに入れられてしまった・・・

進化し続けるGumblarとは
なんかいっぱい書いてあるんですが・・・
残念ながら、既に知っている人にこんなこと言っても意味無いんですよねぇ。問題を拡大させているのは、「プラグインって何?」というレベルの人がホームページを持ったり、企業のホームページの改変を行っていたりしていることにあります。
FTP/Telnetの危険性の周知も、実際にはなかなか進みません。

自分的に、わかってなさそうな人に見せるリンクは・・・
まずこれ!
ガンブラー(Gumblar)ウイルスからパソコンを守る"6つの対策" [無料] -- 無題なブログ
ちょっと内容が古くなってますがコレ:
初心者必読! しないと怖い「プラグイン」アップデートの方法
ホームページからの感染を防ぐために  Gumblar(ガンブラー)対策
そしてこれ
「ガンブラー」「サイト改ざん」めぐる基本のQ&A ~ 何が起きている? 対策は?
って感じでしょうか?

----------
HURRY
----------
Apache #
Update for Apache 2.2 web server closes various security holes
Apache HTTP Server 2.2.15 Released

----------
DHL系の進化版? #
scan upon download
Thunderbird3系になって、ファイルをローカルにダウンロードするようになったのはいいのですが、この手のファイルまでローカル保存するので、セキュソフトがウルサイこと煩いこと・・・

Contract.zip
7/42 (16.67%) 2010.03.09 12:22:29 (UTC)
640f880c5b6e6718942e063b7c9b0c5d(MD5)
29/40 (72.50%) 2010.03.09 20:53:15 (UTC)
わずかの間に検出率はハネあがっています。

----------
Profitable Malware #
An Evolution of Profit Driven Malware
China has now formed a malware industry chain from malware programming to malware spreading. Usually, after malware writers write malware, commercial agents on the Internet will sell access to it, sharing incredible profits with these malware writers.
中国事情の話:マルウェアは儲かると・・・

----------
誰が勤勉? #
Who’s the hardest working researcher of all time? Of 2009?
Many inquires are made to the X-Force, some self serving, requesting the names of the researchers who find the most vulnerabilities. I imagine that it is a great resume bullet to say that you are on this list. It is time to update our list of vulnerability discoverers of all time and to recap the past year’s top discoverers.
なかなか興味深い切り口ですね~

そういえばこんな話もありましたね
不況のなか IT セキュリティ専門家の給与が増加
アリエン!

----------
PITs #

SpamAssassin Milter Plugin Shell Command Injection 4
Unpatched
Use another product.
え”~~?

MediaWiki Multiple Vulnerabilities 2
Update to version 1.15.2 or later.

TikiWiki CMS/Groupware Multiple Vulnerabilities 3
TikiWiki CMS/Groupware Multiple Vulnerabilities 3
Update to version 4.2 or 3.5.

eGroupWare Cross-Site Scripting and Arbitrary Command Execution Vulnerabilities 4
Update to version 1.6.003.

----------
Other #
東京都、ドロップシッピング事業者2社に業務停止命令~虚偽説明や誇大広告

偽ウイルス対策ソフトが2010年最大の脅威になる恐れ、マカフィーが警告

常套化する検索結果を汚染する手口、今度はアカデミー賞に便乗
注目のニュースや話題に便乗して偽ウイルス対策ソフトに感染させる手口は攻撃側の常套手段になりつつある。
なってます、既に
Apple Announces iPad Availability: Watch Out for Scams!
でも、iPadほしい・・

MSRT: Helping us de-Helpud you
頑強にセキュソフトを入れることを拒むヒトへの最後の防壁

Vodafone ships Mariposa-infected HTC Magic
Android phone comes riddled with bots
Vodafone distributes Mariposa botnet
There’s also a Confiker and a Lineage password stealing malware. I wonder who’s doing QA at Vodafone and HTC these days
こ・・conficker on Vodafone ですか?

----------
8080 #
countASN登録更新
91.121.24.13972492 AS16276 02/17 10:35:2003/10 08:50:15
91.121.108.5370607 AS16276 02/17 10:35:2003/10 08:50:15
91.121.7.2654131 AS16276 02/20 05:50:3403/10 08:50:15
62.75.218.19238827 AS8972 02/17 12:30:2703/10 08:50:15
84.200.227.1445595 AS31400 02/17 12:30:2703/10 08:50:15
91.204.116.7930386 AS44976 02/20 04:50:5903/10 08:40:16
78.41.156.23610009 AS6908 02/18 20:00:4303/10 07:40:27
91.204.116.1144530 AS44976 02/24 23:30:0703/10 07:00:15
213.251.133.1594625 AS16276 02/17 18:00:5003/10 06:40:16
87.106.247.1932611 AS8560 02/17 19:40:5003/10 02:40:15
188.40.118.683591 AS24940 02/17 10:35:2003/09 06:10:24
86.58.190.93808 AS16095 02/26 10:50:0803/07 00:00:14
真っ赤:24H以内登録 :5日以内登録 薄赤:24H以内更新 5日経過:[50]IPs
ドメインを新規に4つ追加。

----------
Google Safe Browsing #
| 1268164843 | B | [goog-black-hash 1.52699 update]
| 1268164802 | M | [goog-malware-hash 1.19924 update]
| 303036 | -1805(304841)
| 1459310 |
EoF

Leave A Comment »

ホットワード padding margin ゼロデイ攻撃 ゼロデイ 脆弱性
割引クーポンまとめ情報 - クー割