ブログとストーリー

SpiderLabsブログ

年間50万人以上の読者を魅了しているブログがセキュリティ コミュニティの主要目的地になっているのは、最新の脅威の技術的な分析、重要な脆弱性に関する開示、最先端の研究が掲載されているからです。

Flash ゼロディ(CVE-2018-4878)

2018 年 1 月 31 日に韓国の CERT によって韓国人ユーザーを対象としたゼロデイのフラッシュ攻 撃が発表されました。この攻撃は Excel スプレッドシートに埋め込まれていました。

スプレッドシートを開くと、Flash ファイルが "use-after-free" RCE 脆弱性(CVE-2018-4878)を悪 用する第 2 段階を読み込みます。起動される埋め込まれたペイロードはリモート管理ツール (RAT)で、マルウェア対策による保護を回避するために暗号化されています。ペイロードはまた、 RAT を復号化するための復号キーをダウンロードします。

Adobe は、この脆弱性に対処するために、2018 年 2 月 6 日に APSB18-03 の掲示板にパッチを 公開しました。

プライマリ攻撃のベクトルは、標的型スパムキャンペーンを介して送信された悪意のあるスプレッド シートを含む電子メールと思われます。悪意のあるスパムを検出可能なスパムフィルタや、 Secure Email Gateway デバイスは、エンドユーザーの受信トレイに到達する前にこれらの種類 の電子メールを消去するのに役立ちます。悪意のある電子メールが、あなたの防御コントロールを 依然としてすり抜けてしまう場合には、スパマーが使用するさまざまなソーシャルエンジニアリング 手法を発見するのに役立つ定期的なセキュリティ意識啓発トレーニングを開催することが常に重 要となります。

この CVE について書いているすべてのブログはハッシュと IOC を提供していますが、これら特定 のファイルから保護するだけでは十分ではありません。PoC(概念実証)が公開されると、この CVE が他の攻撃に利用される可能性が高くなります。

最初の攻撃は明らかに電子メールで開始されましたが、悪意のある Web サイトから同じ攻撃を開 始できない理由はありません。Flash エクスプロイトは、過去には Web エクスプロイトキットで頻繁 に使用されていました。Secure Web Gateway は、悪意のあるコンテンツをユーザーの Web ブラ ウザに届かないようにフィルタリングすることにより、これらの種類の攻撃を防止するのに役立ちま す。

この脆弱性に関する分析と調査は既にセキュリティ製品に適用されており、我々はこれらの攻撃 を防止するためには「深さのある防御」が重要であると強調しています。Trustwave のお客様は、 次のセキュリティ製品でこれらの脆弱性に対する検出ルールを利用可能です。

Trustwave Secure Email Gateway (SEG) update AMAX v102
Trustwave Secure Web Gateway (SWG) update SU215
Trustwave UTM update 106 (all updates are automated)