IEユーザーに注意: Microsoft Video ActiveX Controlにゼロデイ攻撃 - Zero Day - ZDNet Japan(情報元のブックマーク数)

IT セキュリティ

セキュリティホール memo - 各種 OS のセキュリティホールの備忘録経由)

DirectShowのActiveXにZero-Dayの脆弱性が存在して、世界各地が騒いでいます!!!

Microsoftは、悪意のあるハッカーMicrosoft Video ActiveX Controlに存在する新たな未パッチの脆弱性に対するコード実行攻撃を行っていると警告するアドバイザリを公開した。
この攻撃は現在、MicrosoftInternet Explorerのユーザーを標的としている。「攻撃者がこの脆弱性を悪用した場合、ローカルのユーザーと同じ権限を取得する可能性があります。Internet Explorer を使用している場合、リモートでコードが実行され、ユーザーの操作を必要としない可能性があります」とMicrosoftは述べている。

IEユーザーに注意: Microsoft Video ActiveX Controlにゼロデイ攻撃 - ZDNet Japan

MSからセキュリティアドバイザリも出たみたい。

マイクロソフトの調査で、この ActiveX コントロールをホストする msvidctl.dll 内のクラス識別子のすべてを含む Internet ExplorerActiveX コントロールは、既定では使用されないことを確認しています。マイクロソフトWindows XP および Windows Server 2003 をご使用のお客様に「回避策」のセクションに記載されているすべてのクラス識別子を使用している Internet Explorer 内のこの ActiveX コントロールに対するサポートを削除することを推奨します。Windows Vista および Windows Server 2008 をご使用のお客様はこの脆弱性による影響は受けませんが、多層防御の対策として同様のクラス識別子を使用している Internet Explorer 内のこの ActiveX コントロールに対するサポートを削除することを推奨します。

http://www.microsoft.com/japan/technet/security/advisory/972890.mspx

WebSenseにもMSにもExploitが出て悪用されていると書かれていますね。

The new zero-day exploit has been added to other exploits on Chinese payload sites. We have been monitoring these sites, which have been systematically injected throughout the last year.

Further information can be found at SecurityFocus who has assigned BID 35558 to this vulnerability. No vendor patch currently exists for this vulnerability.

ThreatSeeker is tracking this attack and we will provide updates as new information emerges.
Screenshot of malicious exploit code:

Security Labs | Forcepoint

ここ意味分からないなぁ。

伝えられるところによれば、障害が起きた何千ものウェブサイトを使用するドライブバイ攻撃が関係しているようだ。

 SANS Internet Storm Centerが、(キルビットを含む)詳細を「Handler's Diary」に掲載している。

エフセキュアブログ : DirectShowのゼロデイ脆弱性

これが原文、「数千の感染しているWebサイトが悪意のあるコードを公開して待ちかまえていると報告されている。」って意味かな。Drive-By Shootがひき逃げっぽい。識者よろしく!

Drive-by attacks using thousands of compromised websites are reportedly involved.

News from the Lab Archive : January 2004 to September 2015

ってことで、Exploit:W32/Agent.LBVがあるので、エロサイトや怪しいサイトは禁止です!(いつも禁止だけどw

我々はこのエクスプロイトが「Exploit:W32/Agent.LBV」であることを確認した。

エフセキュアブログ : DirectShowのゼロデイ脆弱性

デンマークのセキュリティ研究者が最初に報告したらしい。

The attacks, first reported by Danish security researchers at CSIS Security Group, use a flaw in the way that Microsoft's Windows operating system handles TV tuner requests through an ActiveX control.

"An attacker who successfully exploited this vulnerability could gain the same user rights as the local user," Microsoft stated in an advisory released on Monday. "When using Internet Explorer, code execution is remote and may not require any user intervention. We are aware of attacks attempting to exploit the vulnerability."

http://www.securityfocus.com/brief/984

さすが、SANS!IDSやIPSベンダーが対応するのをチェックしましょう!ってのと、Killbitを早くも公開。MSより早かった模様。

Please keep a watchful eye on your AV and IDS/IPS vendors updates to ensure coverage as early as possible on this exploit as it is likely to be widely deployed with the code being available.

InfoSec Handlers Diary Blog - 0-day in Microsoft DirectShow (msvidctl.dll) used in drive-by attacks

ってことで、ITMediaで情報出ましたがそういう意味だったみたい↑

SANS Internet Storm Centerによれば、この脆弱性を悪用するコードが中国の多数のWebサイトで公開され、それを使った攻撃が多発。何千ものWebサイトが改ざんされ、閲覧しただけでマルウェアに感染する状態になっているという。

 Microsoftは現在、脆弱性を解決するためのセキュリティアップデートを開発中。当面の回避策として、脆弱性のあるActiveX Control(msvidctl.dll)にキルビットを設定する方法を紹介している。自動的にこの回避策を適用できるツールも用意した。

Windowsにゼロデイの脆弱性、サイト改ざん攻撃が多発 - ITmedia エンタープライズ

以下フィルタした方が良いかも。

List of exploit domains:

vip762.3322.org
3b3.org
www.27pay.com
www.hao-duo.com
dump.vicp.cc
64tianwang.com
webxue38.3322.org
556622.3322.org
jfg1.3322.org
df56y.3322.org
javazhu.3322.org
8dfgdsgh.3322.org
ceewe3w2.cn
js.tongji.linezing.com
h65uj.8866.org
45hrtt.8866.org
8oy4t.8866.org
www.mjbox.com
2wdqwdqw.cn
www.vbsjs.cn
cdew32dsw.cn
qvod.y2y2dfa.cn
kan31ni.cn
www.duiguide.us
gkiot.cn
www.carloon.cn
movie.wildmansai.com
www.7iai.cn
www.jazzhigh.com
www.netcode.com
6ik76.8866.org
76ith.8866.org
qd334t.8866.org
u5hjt.8866.org
vpsvip.com
x16ake8.6600.org
www.huimzhe.cn
www.hostts.cn
ucqh.6600.org
qitamove.kmip.net
news.85580000.com
guama.9966.org
dx123.9966.org
ds355.8866.org
dnf.17xj.cn
dasda11d.cn
d212dddw.cn
ckt5.cn
ccfsdee32.cn
aaa.6sys6.cn
9owe2211.cn
8man7.3322.org
6gerere3e.cn
66yttrre.cn
45hrtt.8866.org


Second stage domains (binaries downloaded from these domains):

www.73yi.cn
w1.7777ee.com
w2.7777ee.com
w3.7777ee.com
w8.7777ee.com
w9.7777ee.com
milllk.com
haha999b.com
babi2009.com
haha888l.com
xin765.com


Ip's (no domain used in exploit page):

110.165.41.103

InfoSec Handlers Diary Blog - IE 0day exploit domains (constantly updated)

トレンドマイクロでは、JS_DLOADER.BD - Threat Encyclopedia - Trend Micro USらしい

Earlier today, TrendLabs has been alerted of a zero-day exploit in the Microsoft Video streaming ActiveX control MsVidCtl. Around 967 Chinese websites are reported to be infected by a malicious script that leads users to successive site redirections and lands them to download a .JPG file containing the exploit. Trend Micro detects it as JS_DLOADER.BD. Here’s a screenshot of the encrypted exploit code:

Zero-day MPEG2TuneRequest Exploit Leads to KILLAV - TrendLabs Security Intelligence Blog

Sophosも検知名が出ていますね。

As already mentioned by GC here, there is a DirectShow vulnerability currently in the wild.

Samples seen thus far are being detected as Exp/VidCtl-A and Mal/JSShell-D. Several new variants of the exploit scripts are being proactively detected with these names. Additionally, runtime buffer overflow protection provides additional behavioral protection.

Update on the DirectShow vulnerability du jour – Naked Security

関連URL

screenshot