概要
Adobeは2014年4月29日(日本時間)、Adobe Flash Playerの脆弱性情報を公開しました。Kasperskyが発見し報告したもので、既に水飲み場攻撃として悪用が確認されています。この脆弱性を悪用された場合、リモートから攻撃者がシステムを制御できる可能性があります。ここではFlash Playerに関するゼロデイの情報をまとめます。
影響対象
Adobe Flash Playerを使用している場合に影響を受けます。具体的な影響対象と修正バージョンは次の通り。
Platform | 深刻度 | 優先度 | 影響対象バージョン | 修正バージョン | 悪用の状況 |
---|---|---|---|---|---|
Windows | Critical | 72時間以内の更新推奨 | 13.0.0.182以前 | 13.0.0.206 | 攻撃が確認されている |
MacOS | Critical | 72時間以内の更新推奨 | 13.0.0.201以前 | 13.0.0.206 | − |
Linux | Critical | 更新を推奨 | 11.2.202.350以前 | 11.2.202.356 | − |
Chrome | Critical | 72時間以内の更新推奨 | 13.0.0.182以前 | 13.0.0.206 | − |
IE10(Win8) | Critical | 72時間以内の更新推奨 | 13.0.0.182以前 | 13.0.0.206 | − |
IE11(Win8.1) | Critical | 72時間以内の更新推奨 | 13.0.0.82以前 | 13.0.0.206 | − |
悪用事例に関する情報
標的
- シリア政権への反体制派を狙ったものとKasperskyは推測。
手口
- シリアの法務省のWebサイト(jpic.gov.sy)が改ざんされた。
- 改ざんしたサイトには2つのExploit(.swfファイル)が設置されていた。
- 改ざんサイトへはiframeやスクリプトを用いてリダイレクトされたものとKasperskyは推測。
- シリア法務省(jpic.gov.sy)について
- 2011年に設置された。
- 意見(苦情)を投稿するフォーム画面。
- 2013年に改ざん被害を受けている。
マルウェア・Exploit関連の情報
- 検体のファイル名
- include.swf
- movie.swf
- stream.swf(詳細不明)
- Exploit(include.swf)はAdobe Flash PlayerのActiveXとCisco MeetingPlace Expressがインストールされていないと動作しない。
- Exploitはビデオファイルとなっているが、ActionScriptの難読化・暗号化は行われていない。
- 2つのExploitの違いはShellcode。
- Windows8の場合、実行される処理が異なる。
- Kasperskyはペイロードが既に削除されていたためこれを確保できていない。
- 最初の検知はKasperskyのヒューリスティックによるもの。
- IEの脆弱性CVE-2014-1776とは無関係。
- Exploit(Metasploit)
検体情報
- SHA265:5f2c5d9a3b1ae362011cac05914864881963c48ae056ae197012cc1bcd3203f8
検証情報
- Flash Playerのバッファオーバーフローの脆弱性により、任意のコードが実行される脆弱性(CVE-2014-0515)に関する検証レポート
- Neutral8x9eRさんの検証デモ
CVE-2014-0515関連トピックのタイムライン
- 2014/04/09
- KSNによってCVE-2014-0515が記録される
- 2014/04/14
- KasperskyがCVE-2014-0515のサンプルを確認する。
- CVE-2014-0515のExploitが複数検出される。
- 2014/04/16
- CVE-2014-0515のExploitが複数検出される。
- 2014/04不明
- 2014/04/28
- 2014/04/30
- 2014/05/09
- CVE-2014-0515のExploitが公開
更新履歴
- 2014/04/29 AM 新規作成
- 2014/04/30 最新情報を反映
- 2014/05/03 AM 検体情報を追加
- 2014/05/15 AM Exploitに関する情報を追加