 |
さまよい |
14/10/23 20:22 |
ゼロデイ攻撃
ソースはJPCERTさん
および窓の杜さん
スレ立て遅れたので、既知の方はすみません……。
対象
Vista以降の32および64ビット版WindowsおよびWindows Server 2008、2008 R2、2012、2012 R2およびWindows RT、RT 8.1
攻撃方法
細工したMicrosoft Officeファイルをユーザに開かせる(Microsoft OLE未修正ぜい弱性を悪用。おそらく、メール添付やWebにダウンロードリンクを貼り、うまく誘導して開かせる方法などではないでしょうか)。
マイクロソフト社が当ぜい弱性への標的型攻撃を確認、とのこと。
OLE機能はマイクロソフト社以外のソフトでも利用されているらしく(Office互換系ソフトでしょうか?)、「Microsoft Office入ってないから関係ない」とはいかないようです。
対策・軽減策
1.Microsoft Fix it 51026 を適用
(JPCERTさんにリンクあり。Fix itは後日このぜい弱性に対するWindows更新が公開された際、更新適用前に解除する必要があるかも??? そのままで問題ないかは不明……)
2.Enhanced Mitigation Experience Toolkit (EMET) の Attack Surface Reduction (ASR) 機能を使用するよう設定を追加
(JPCERTさんにテックネットへのリンクがあり、そこに記載あり)
該当バージョンのはずなのになぜか1が適用できなかった場合は、2で。
ただし、「マビをIEから起動されている方」はEMET入れるとIE32ビット(ネクソンゲームマネージャーはIE32ビットでしか動かない)が起動できない(EMETがブロックしてブロックしたメッセージが表示される)かも。
その場合はEMETを開いてEMET画面上の方にあるAppsクリック>(表示されたアプリごとのルール画面で)iexplore.exeのEAFのチェックボックスをオフ>同画面右下の OKを押す。
これでIE32ビットが起動できる、かも……(個々の環境によってブロック要因が違う場合あるかもしれません。Fix itでいける方はFix itの方がいいです)。
以前リバーシュさんから教えてもらったのですが、EMETがブロックしたときにはWindowsログにログを残すということなので、ログ見たらブロック原因は分かるかも。
1適用できない、2は(マビ起動できなくなりそうで)怖いという場合は……(あくまでも個人的な推測でしかなく、よくある方法での対策ですが)
メール添付ファイルに注意する
Webのダウンロード等のリンクに注意する
(ダウンロード以外のリンクで、クリックさせてファイルを実行させようとする可能性もあるかも)
セキュリティソフトの小まめな更新と同ソフトによる小まめな検査
等にて不審ファイルの実行を止めるのが一つの手かもしれません。
SSLv3ぜい弱性
ソース同じくJPCERTさん
各ブラウザごとの対策がJPCERTさんの該当の注意喚起でリンク提示されています。
余談
所用等のため、コメント頂いたとしてもレスができなさそうです。すみません。
