Adobe Readerなどの新しい脆弱性を悪用した不正なPDFファイルが出現

インターネット セキュリティ

 この間のアップデートで修正された脆弱性を悪用したPDFファイルが,さっそく出回っているらしい.そして,SANSによれば,ほとんどの対策ソフトでは検出出来ないため,即急にAdobe ReaderAcrobatのアップデートをすることが推奨されている.


 新たな「PDFウイルス」出現、ほとんどの対策ソフトが検出できず - ITPro
 不正なPDFファイルが出現、Adobeのアップデート公開直後に - ITmedia

Adobeは4日にAdobe Reader 8とAcrobat 8のアップデートを公開したが、今回の不正なPDFファイルは、このアップデートで修正されたJavaScriptバッファオーバーフロー問題を悪用している。圧縮されたPDF文書にJavaScriptオブジェクトを組み込み、解凍すると脆弱性を悪用する機能が実行される。
 この脆弱性をめぐっては、完全なコンセプト実証(PoC)コードが先に公開されていた。しかし、攻撃者がこのPoCにわずかに手を加えたため、ウイルス対策ソフトウェアによる不正なPDFファイル検出率は非常に悪いとSANSは解説している。
     不正なPDFファイルが出現、Adobeのアップデート公開直後に - ITmediaより引用

アドビシステムズでは、2008年11月4日時点で、この脆弱性を悪用した攻撃(プログラム)は未確認としていた。しかしながらサンズの情報によると、その後、脆弱性を突くことが可能であることを示すプログラム(PDFファイル)が出現。今回確認されたPDFウイルスは、そのPDFファイルに手を加えたものだとしている。改変することで、対策ソフトに検出されにくくしているという。
 実際サンズにおいて、36種類の対策ソフトを使ってウイルスチェックできるWebサイト「VirusTotal(ウイルストータル)」を使って今回のPDFウイルスを検査したところ、2008年11月7日時点では、検出できた対策ソフトは皆無だったという。
     新たな「PDFウイルス」出現、ほとんどの対策ソフトが検出できず - ITProより引用

 しかし,1つだけ言っておきたいのは,VirusTotalは複数ベンダーのアンチウイルスソフトを使ってウイルスチェックを出来るとはいえ,その機能はシグネチャスキャンに限定されている.一般に,各ベンダーのセキュリティソフトを使用している場合は,当然シグネチャスキャンだけではなく,ヒューリスティックスキャンやHIPS機能による不正プログラムの実行防止などの様々なセキュリティ機能を有する.したがって,VirusTotalで検出できた対策ソフトは皆無であったからといって,各ベンダーのセキュリティソフトがこのPDFウイルスとやらに対して無力であるとは云えない.

この脆弱性をめぐっては、完全なコンセプト実証(PoC)コードが先に公開されていた。しかし、攻撃者がこのPoCにわずかに手を加えたため、ウイルス対策ソフトウェアによる不正なPDFファイル検出率は非常に悪いとSANSは解説している。
 これについてセキュリティソフトメーカーの米Symantecは、この攻撃は確かに同社のウイルス対策製品では当初検出ができなかったが(その後定義ファイルを更新して対処済み)、不正侵入防止システムで捕捉できたと反論した。
     不正なPDFファイルが出現、Adobeのアップデート公開直後に - ITmediaより引用

 よく,VirusTotalの結果を引き合いに出して,アンチウイルスソフトの比較分析ツールかの如く用いる人がいるけども,VirusTotalでは単純なシグネチャスキャンしかしてないのに対して,アンチウイルスソフトシグネチャスキャンのほかにもヒューリスティックスキャンによる振る舞い検知(サンドボックス内で実際実行してその振る舞いを見て判断)とか,*1 まあ,単純な署名走査による検知だけでなくて,他にもいろいろな方法でもってマルウェアを検知してる.したがって,その結果だけで各製品(アンチウイルスソフト)の性能は分からないし,その結果で以って,検出出来るセキュリティソフトは皆無であるとも云えない.
 もちろん,アップデートさえすればこの問題は防げるのだから,第一義的にはアップデートをするべし・・ということなのだが,語弊のある記述だったのでそれだけは言明しておきたい.


追記 08/11/11 00:00

 先週公表された「Adobe Reader 8」の脆弱性を突く攻撃が早くも発生 - COMPUTERWORLD.jp

ズドルンジャ氏が述べた「サンプル攻撃コード」は、Adobeが修正パッチを公開する直前に、セキュリティ会社Core Security Technologiesが警告情報と共に公開したものだ。同社は、今回のバグについて5月にAdobeへバグ報告を行った企業である。ズドルンジャ氏が入手した攻撃用PDFファイルにはこのサンプル・コードの改変版が含まれており、7日午前11時(EST:米国東部標準時間)時点では、どのベンダーのウイルス対策ソフトウェアもこのファイルを検出できなかった。
 一方、ウイルスのスキャンおよびリポート・サービスを無料で提供するVirusTotalは「5日にmilw0rm.com(脆弱性マルウェア情報を収集、公開しているサイト)で公開された(ズドルンジャ氏が入手したPDFファイルとは別の)攻撃用PDFファイルは、およそ14%のウイルス対策ソフトウェア・ベンダーが検出に成功している」と述べている。
     先週公表された「Adobe Reader 8」の脆弱性を突く攻撃が早くも発生 - COMPUTERWORLD.jpより引用

 いくつかの種類の攻撃用PDFファイルが確認されている模様.

*1:Kasperskyでは,ヒューリスティックとビヘイビア(振る舞い)はまた違う技術っぽいけどよーわからん