2015年8月19日に修正されたIEの脆弱性 CVE-2015-2502 に関する情報をまとめます。
脆弱性概要
脆弱性の概要情報をまとめたところ次の通り。
| 愛称 | 無し |
|---|---|
| Webサイト | MS15-093 |
| アイコン | 無し |
| CVE | CVE-2015-2502 |
| 影響 | RCE |
| 悪用 | 有り(0day) |
| 発見者名 | Clément Lecigne氏 Google社のセキュリティエンジニア Microsoft 謝辞欄に掲載されている。 |
CVE-2015-2502の概要
MicrosoftによればCVE-2015-2502はIEのメモリ破損の脆弱性であるとして次の説明をしています。
Internet Explorer がメモリ内のオブジェクトに不適切にアクセスする場合に、リモートでコードが実行される脆弱性が存在します。この脆弱性では、攻撃者が現在のユーザーのコンテキストで任意のコードを実行するような方法で、メモリを破損する可能性があります。
https://technet.microsoft.com/ja-jp/library/security/ms15-093.aspx
CVSS
| CVSS v2 | |
|---|---|
| NVD | 9.3 |
タイムライン
| 日時 | 出来事 |
|---|---|
| 2015年8月19日 | MicrosoftがCVE-2015-2502を修正する更新プログラム MS15-093を定例外で公開。 |
影響範囲
全てのWindows OSに搭載されたいずれかのIEが影響を受ける可能性がある。サーバーOSはIEの設定が既定でセキュリティ強化の構成で実行されることから緊急ではなく、警告と評価されている。
影響範囲をまとめると次の通り。
| Windows | IE7 | IE8 | IE9 | IE10 | IE11 |
|---|---|---|---|---|---|
| Vista SP2 | 影響あり | 影響あり | 影響あり | ||
| 7 SP1 | 影響あり | 影響あり | 影響あり | 影響あり | |
| 8 | 影響あり | ||||
| 8.1 | 影響あり | ||||
| 10 | 影響あり | ||||
| 2008 | 影響あり | ||||
| 2008 R2 | 影響あり | 影響あり | |||
| 2012 | 影響あり | ||||
| 2012 R2 | 影響あり |
悪用に関する情報
Microsoft、Symantecなどが公開している情報によれば、CVE-2015-2502は0dayとして修正前の悪用する動きが確認されている。なお、攻撃方法は水飲み場攻撃での悪用事例が報告されている。
現在確認されている報告によれば攻撃された地域は香港であり、日本国内が攻撃対象に含まれている報告はない。
- Symantec New Internet Explorer zero-day exploited in Hong Kong attacks
- Qualys MS15-093 - OOB fix for Internet Explorer
- Heimdal Security Security Alert: Millions Exposed to Cyber Attacks Because of Internet Explorer Vulnerability
マルウェアに関する情報
AlianValutによれば、次のマルウェアがCVE-2015-2502を悪用した水飲み場攻撃で用いられたマルウェアとして情報が公開されている。
改ざんサイト・不正通信先に関する情報
Symantecでは改ざんされたサイトは1つしか報告されていないが、Google Safebrowsing、及びGoogleのキャッシュよりさらに2件のWebサイトが改ざんされていることを確認した。
- Google Safebrowsing(115[.]144[.]107[.]55の結果)
- キャッシュに残っていた改ざん痕跡
香港の事案と関連があるかは不明ながらAlianValutが報告しているマルウェアの1つに関連する通信先として、Virustotalから別の不正通信先を確認できた。
これら水飲み場攻撃で悪用されたWebサイトは次の通り。
| 種類 | URL/IPアドレス | Google Safebrowsing | Symantec | AlianValut |
|---|---|---|---|---|
| 改ざんサイト | hkctu[.]org[.]hk | 報告あり | − | − |
| 改ざんサイト | elchk[.]org[.]hk | 報告あり | 報告あり | − |
| 改ざんサイト | alrc[.]net | 報告あり | − | − |
| 不正サイト | 115[.]144[.]107[.]55 | 報告あり | 報告あり | 報告あり |
| 不正サイトの可能性 | www[.]publicvoicepress[.]com | − | − | 報告から確認 |
| 不明 | 27[.]255[.]94[.]74 | − | − | 報告あり |
更新履歴
- 2015年8月23日 AM 新規作成
