ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2014-04-27

InternetExplorerのゼロデイ(CVE-2014-1776)をまとめてみた

| 21:34 | InternetExplorerのゼロデイ(CVE-2014-1776)をまとめてみたを含むブックマーク

概要

Microsoft2014年4月27日、InternetExplorerの脆弱性情報を公開しました。FireEyeによればこの脆弱性を悪用する標的型攻撃を確認しており、同社では「Operation Clandestine Fox.」と名前を付けています。既に子の脆弱性を修正するプログラムが公開されています。ここではIEのゼロデイに関係する情報をまとめます。

Microsoftの公開情報

脆弱性による影響やその対象、攻撃シナリオの詳細は以下を参照。

脆弱性識別情報

CVE-2014-1776の影響対象

Microsoftによれば現在サポートされている全てのIEが影響を受けますが、FireEyeが確認しているExploitIE9以降が対象となっています。WindowsOSやシステムの種類(32/64bit)について、詳細は明らかにされていません。

InternetExplorerCVE-2014-1776の影響有無Windows XPWindows 7Windows 8悪用グループ
IE6影響有り
IE7影響有り
IE8影響有り攻撃を確認Operation Clandesitne Foxとは別グループ
IE9影響有り攻撃を確認攻撃を確認Operation Clandesitne Fox
IE10影響有り攻撃を確認攻撃を確認Operation Clandesitne Fox
IE11影響有り攻撃を確認攻撃を確認Operation Clandesitne Fox

尚、WindowsXPはサポートが終了しているために、XP上のIEが影響を受けるかはセキュリティアドバイザリでは言及されていません。しかし、その後Symantecの調査によりWindowsXP上のIE脆弱性の影響を受けることが明らかになりました。*1

またFireEyeによりWindowsXPを対象にした攻撃が確認されています。

悪用事例に関する情報

Operation Clandestine Fox、および別グループによる攻撃

FireEyeがCVE-2014-1776を悪用する標的型攻撃を報告しています。

New Zero-Day Exploit targeting Internet Explorer Versions 9 through 11 Identified in Targeted Attacks | FireEye Blog

またFireEyeがCVE-2014-1776を悪用する複数のグループによる攻撃を確認したと報告しています。

  • 分かる範囲で簡単にまとめると次の通り。
    • 諸事情により具体的な対象となった組織、時期については明らかにされていない。
    • 今回の攻撃は過去にFirefoxなどのブラウザの0dayを使って標的型攻撃を行っているグループである。
    • 報告を装ったフィッシングメールが利用された。
    • 米国の防衛・金融関係の組織が標的となった。*2
    • その後、政府エネルギー系の業種へ攻撃対象が拡大している。
検体名
ベンダ検知名
SymantecBloodhound.Exploit.552
AviraEXP/CVE-2014-1776
ESETWin32/Exploit.CVE-2014-1776
SophosTroj/SWFExp-CV
MicrosoftExploit:SWF/CVE-2014-1776
TrendMicroSWF_EXPLOYT.OCF
検体情報

rule exploited_CVE_2014_1776 : WER CVE20141776

{

 meta:

  author = "MalwrSignatures"

  date = "2014/05/01"

  description = "Detects a Internet Explorer Crash Report suspected to be caused by CVE-2014-1776"

  ref = "http://community.websense.com/blogs/securitylabs/archive/2014/04/28/cve-2014-1776-using-crash-reports-to-find-possible-exploited-vulnerabilities.aspx"

  filetype = "wer"

 strings:

  $exec = /Sig\0-9]+\]\.Name=Application Name[\n\r]+Sig\0-9]+\]\.Value=iexplore\.exe/ wide nocase

  $modu = /Sig\0-9]+\]\.Name=Fault Module Name[\n\r]+Sig\0-9]+\]\.Value=VGX\.DLL/ wide nocase

  $time = /EventTime=13[89]/ wide nocase

 condition:

  all of them

}

http://pastebin.com/raw.php?i=jebp9aUs
  • SHA256:0ea7194adb57783ee97e228237f21b0426d7cb467550e747c805ad1de4377295

対策

2014年5月2日Microsoftより緊急にて更新プログラムMS14-021が公開されました。当該プログラムインストールすることで脆弱性が修正されます。またサポートが終了しているWindowsXPに対しても更新プログラムが公開されました。

MS14-021インストールにあたっての注意点
IE11を動かすOSインストール対象の更新プログラム
Windows 7
Windows Server 2008 R2
に2929437更新プログラムインストール済みの場合
2964358 セキュリティ更新プログラム
Windows 8.1
Windows Server 2008 R2
Windows RT 8.1
に2919355 更新プログラムインストール済みの場合
2964358 セキュリティ更新プログラム
それ以外の場合2964444 セキュリティ更新プログラム
  • 回避策をとっていた場合の対応

なお、一部の回避策の行っていた場合は更新プログラムインストールする前に、事前に解除を行っておく必要があります。

回避策更新プログラムインストール前に実施すべき点
EMETの利用使用上問題なければ特に必要なし。
ブラウザの利用使用上問題なければ特に必要なし。
ゾーンセキュリティレベル「高」設定使用上問題なければ特に必要なし。
VMLコンポーネントの無効化使用上問題なければ特に必要なし。
なお更新プログラムインストールしても再登録は行われない。*3
IE拡張保護モードの有効化使用上問題なければ特に必要なし。
Flashプラグインの無効化使用上問題なければ特に必要なし。
VGX.DLL上のACLの修正更新プログラムインストールする前に回避策の解除が必要。

回避策

MS14-021がインストールできない場合、次のいずれかの回避策を行うことでCVE-2014-1776の影響の緩和が可能であるとMicrosoftやFireEyeが報告しています。お約束ですが、本番環境へインストールする前に十分な検証を行ってください。

回避策MicrosoftFireEyeSymantecTrendMicroUS-CERT*4
EMETの利用SAに記述ありExploit失敗を確認推奨推奨(SA記載あり)
ブラウザの利用推奨推奨SA記載の内容ができない場合推奨
ゾーンセキュリティレベル「高」設定SAに記述あり推奨(SA記載あり)
VMLコンポーネントの無効化SAに記述あり推奨(SA記載あり)
IE拡張保護モードの有効化SAに記述ありExploit失敗を確認推奨(SA記載あり)
Flashプラグインの無効化Exploit失敗を確認

(注)「−」は特に言及がなかっただけで、「推奨していない」という意味ではありません。

(1) EMETを利用する

EMETを利用していればExploitからの保護されるとMicrosoft、FireEyeが報告しています。

  • 当該脆弱性に対してEMET 4.0、4.1 Update1(またはEMET 5.0 TP)が緩和策として有効。
  • 当該脆弱性に対してEMET 3.0は緩和策として有効ではない。
  • WindowsXPにEMET4.1を導入して当該脆弱性の緩和策となるかは不明。
Windows OSEMET 4.0/4.1EMET 5.0 TP
Windows XP SP3インストール可能×未サポート
Windows Vista SP1以降インストール可能インストール可能
Windows 8インストール可能インストール可能
Windows 8.1×未サポートインストール可能
Windows Server 2003 SP1以降インストール可能インストール可能
Windows Server 2008インストール可能インストール可能
Windows Server 2008 R2インストール可能インストール可能
Windows Server 2012×未サポートインストール可能
(2) 脆弱性が修正されるまでの間、他のブラウザを使用する

FireFoxChromeOperaといったIE、及びIEコンポーネントを使用しているブラウザ以外を使用すれば影響をうけません。ただし、特定のWebシステムがIEにしか対応していない場合IEと他ブラウザの使い分けをしなくてはなりません。

(3) インターネットやローカルイントラネットセキュリティレベルを「高」にする

ゾーンのセキュリティレベルを「高」に設定することでアクティブスクリプトActiveXコントロールが無効化されるため影響を緩和できます。ただしWebサイトによっては動かなくなる場合があります。

(4) IEの「拡張保護モード」を有効にする(64bit版OSで動作するIE10,IE11のみ)

InternetExplorer 10,11の拡張保護モードを有効にすることで影響を緩和することが可能とFireEyeが報告しています。拡張保護モードはインターネットオプションの詳細タブから設定可能です。当該設定が有効となっている場合、Webサイトによっては閲覧できなくなるといった弊害も発生する可能性があることから、この設定は既定では無効となっています。

またMicrosoftは「拡張保護モードを有効にする」と「拡張保護モードで64ビットプロセッサを有効にする」が有効になっている場合に影響を緩和できると報告しており、FireEyeの報告と少し異なります。「拡張保護モードで64ビットプロセッサを有効にする」は64bit版のWindows 8(8.1)にのみ存在しますが、Windows7では拡張保護モードを有効にすれば64bitでの動作となるため、次の設定をすれば緩和できるようです。

OSシステムの種類当該設定による影響の緩和拡張保護モード64bitプロセッサでの有効
Windows 732bit不可?
Windows 764bit可能有効に設定
Windows 8(8.1)32bit不可?
Windows 8(8.1)64bit可能有効に設定有効に設定

「拡張保護モード」についての詳細は以下のMicrosoftのエントリが参考になりました。

(5) VMLコンポーネントを無効にする

攻撃に悪用されているVMLコンポーネントを無効化することで影響を緩和します。具体的には次のコマンドを実行してVGX.dll無効化します。なおこのコマンドは管理者権限で実行する必要があります。また更新プログラムインストール後は再度有効にする必要があります。

32bit版Windowsの場合
  • 無効化方法

管理者権限でコマンドプロンプトを開き次のコマンドを実行

"%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"

  • 有効化方法

管理者権限でコマンドプロンプトを開き次のコマンドを実行

"%SystemRoot%\System32\regsvr32.exe" "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"

64bit版Windowsの場合
  • 無効化方法

管理者権限でコマンドプロンプトを開き次の2つのコマンドを実行

"%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"

"%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles(x86)%\Microsoft Shared\VGX\vgx.dll"

  • 有効化方法

管理者権限でコマンドプロンプトを開き次の2つのコマンドを実行

"%SystemRoot%\System32\regsvr32.exe" "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"

"%SystemRoot%\System32\regsvr32.exe" "%CommonProgramFiles(x86)%\Microsoft Shared\VGX\vgx.dll"

(6) Flash Plug-inを無効にする

FireEyeが確認しているExploitではFlashが使用されていることから、Flashを無効化することでExploitが動作を阻害できることが報告されています。Win8向けのIEFlashが組み込まれているのでインストールしていなくても有効になっています。

CVE-2014-1776関連トピックのタイムライン

参考

謝辞

このまとめは次の皆様の情報を元に修正・追加を行っています。ありがとうございます!

  • 2014/04/30 Microsoft Security Advisoryが更新されていることについて教えていただいた@masa141421356さん

更新履歴

  • 2014/04/27 PM 新規作成
  • 2014/04/28 AM EMET対応OSについて追記
  • 2014/04/28 PM WindowsXPも影響を受けることを追記
  • 2014/04/28 PM 検知名を追記
  • 2014/04/29 PM 最新情報を反映
  • 2014/04/30 PM Microsoft SA更新に伴い情報を反映
  • 2014/05/01 PM 検体情報を追加
  • 2014/05/02 AM 更新プログラムの公開、WinXP攻撃対象となっている件について追記
  • 2014/05/03 AM 更新プログラムの箇所を更新、Yaraルールを追記
  • 2014/05/07 PM 更新プログラムの箇所に誤りがあったため修正