Flashの0day脆弱性を利用した攻撃が蔓延

6月 2, 2008 Security
(Last Updated On: 2008年6月4日)

追記:この件、どうも0dayでなく既知の脆弱性の問題だったということで決着しているようです。情報ありがとうございます。ただ、このブログにアクセスしている方でもgoogle analyticsによると脆弱性の無いバージョンだと分かるFlashを利用している方がたったの16.6%です。前のバージョン(9.0.115)の利用者は31.78%です。残りのユーザもほとんどが危険なFlash Playerを利用していると思われます。かなり有効な攻撃であることには変わりないようです。Flash Playerは時々アップデートがある、と教えてくれますがあまり役立たないので自分で脆弱性情報を収集してバージョンチェックする方が良いです。

とりあえず9.0.124.0であれば大丈夫なようです。
http://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm

いろいろ困る事もあるのですがFirefox+NoScriptを利用するとこの種の攻撃のリスクを大幅に低下させられます。

追記2:
Flash attack may as well have been zero-day
http://blogs.zdnet.com/security/?p=1236

結果的には0dayでなかったが同じくらい効果的に攻撃されているではないか、という意見です。私も同じ意見です。このブログでも時々Flashの自動更新は役立たずであり、その結果危険なFlashを使い続けているユーザが多い事を書いています。

Flashのバージョンチェックや設定チェックはお世辞にも分かり易いとは言えないのでWikiにリンク集も作っています。
http://wiki.ohgaki.net/index.php?Flash%E3%83%90%E3%83%BC%E3%82%B8%E3%83%A7%E3%83%B3%E3%83%81%E3%82%A7%E3%83%83%E3%82%AF

FlashやQuickTime等のプラグインはエンドユーザにとっては最大の脅威といっても良いくらいですが、あまりその事実は理解されていないと思います。このブログをご覧の方で最新版のFlash Playerに更新されている方はバージョンアップが進み、最新版を利用されている方の割合が17%から30%に向上しています。しかし、向上したと言ってもたったの3割で残りのほとんどは危険なFlash Playerを使い続けています。


五月の終わりくらいFlashの0day攻撃が話題になっています。最新版のFlash Playerでも任意コード実行が行われマルウェアをインストールされてしまう、というかなり危険な攻撃が広範囲に「現在進行形」で行われています。

しばらく忙しくて日本のWebサイトの状況を確認していませんでしたが、何故かあまり話題になっていないように思えたのでググってみました。

flash 脆弱性

上位には古い記事が来ています…

この脆弱性は「まだパッチが存在せず」かなり危険であるにも関わらず、どうも認知度が低いようです。

セキュリティフォーカスの情報をフォローしている方なら以下のbidをご存知と思います。

An attacker may exploit this issue to execute arbitrary code in the context of the affected application. Failed exploit attempts will likely result in denial-of-service conditions.

Adobe Flash Player 9.0.115.0 and 9.0.124.0 are vulnerable; other versions may also be affected.

http://www.securityfocus.com/bid/29386/discuss

攻撃者は影響のあるアプリケーションのコンテクストで任意コードを実行できる可能性があり、攻撃に失敗した場合はサービス不能な状態になる場合が多いと考えられます、としています。そして、この脆弱性は現時点で最新版の9.0.124.0でも攻撃可能としています。

比較的この問題について良くまとまっているサイトではさらに詳しく状況が書かれています。
http://hackademix.net/2008/05/28/unpatched-flash-vulnerability-widely-exploited-in-the-wild/

Yesterday Symantec elevated its ThreatCon rating as a response to an infection involving about 20,000 web pages (250,000 according to other sources), and probably still actively spreading through an automated SQL injection.

The main news is that this time an apparently unpatched vulnerability affecting Adobe Flash Player is being exploited, making the attack on end-users effectively cross-browser and potentially cross-platform:

単純に脆弱性が発見され未パッチの状態であるだけでなく、2万ページ、ソースによっては25万ページ以上のWebサイトがSQLインジェクション攻撃を利用され、攻撃用のURLを埋め込まれているとしています。

さらに、この攻撃はクロスブラウザで潜在的にはクロスプラットフォームでありエンドユーザを効果的に攻撃しているとしています。

対策は簡単です。IEユーザはFlashプレイヤーを無効化またはアンインストール、FirefoxユーザならNoScriptをインストールすることです。

この攻撃はSQLインジェクションで攻撃用のURLを埋め込まれたサイトにアクセスすると攻撃されます。実際に攻撃おこなうサイトは別のサイト(.cnドメインのサイト)から行われるドライブバイ型の攻撃です。NoScriptユーザは攻撃を実際に行う.cnサイトにFlashの実行を許可していない限り攻撃は成功しません。

検証していないのでインターネットから収集できる情報からだけ判断すると、最新版でも攻撃は可能で一部の攻撃は最新版のFlash (9.0.124.0)なら攻撃されないような攻撃もあるようです。この結果以下のAdobeのエントリを斜め読みすると最新版なら安全と勘違いされている方もいるかも知れません。

http://blogs.adobe.com/psirt/2008/05/potential_flash_player_issue.html

2008/5/29のCNET Japanの記事もミスリーディングです。

http://japan.cnet.com/news/sec/story/0,2000056024,20374222,00.htm?ref=rss

一方ITMediaの方は比較的分かりやすく書いてあります。

http://www.itmedia.co.jp/news/articles/0805/28/news018.html

投稿者: yohgaki