先週、Kahu SecurityがJava攻撃の拡大に関する記事をブログに掲載した。Kahuの記事は、2つのJavaエクスプロイトを分析している。
第1のエクスプロイトは、最新のJava脆弱性で、イン・ザ・ワイルドで悪用されている「CVE-2012-0507」を標的とする。この脆弱性は(Windows版では)Oracleが2012年2月に修正している。私は第2のエクスプロイトの方が面白いと思う。これは明らかに何らかのJava CORBA脆弱性、おそらくはイン・ザ・ワイルドで悪用されていることはまだ知られていないJava脆弱性「CVE-2012-0506」に関係があるようだった。先週の金曜、私はこの不可解なエクスプロイトをより詳しくチェックすることにした。
最初私は、アプレットをデコンパイルし、分析した。しかし、「CVE-2012-0506」で一般に利用可能になったエクスプロイトやPOCは無かったため、特に気付いたことは無かった。そこで私は、可能性のある脆弱性のリストを狭めるため、Java Runtime Environmentの様々なバージョンでエクスプロイトをテストしようと考えた。最新バージョン(JRE6 update 31)を試すことから始め、予想通り、同エクスプロイトは既にパッチが当てられていたため、動作しなかった。次に私は、エクスプロイトが私のテスト環境で動く事を確認するため、より以前のバージョン(JRE6u25)でテストしたところ、実際に動いた。JRE update 30をテストし、エクスプロイトが動作しなかった時、私は少々驚いた。これは同サンプルは(私が期待していたように)「CVE-2012-0506」を悪用していないという、明らかな兆候だった。JRE6u30は依然としてこの脆弱性を持っていたからだ。
さまざまなJREをテストし続け、JRE6 update 29はこの不可解な脆弱性にパッチを当てたバージョンであると確定した。このUpdate Release Notesは、アップデートでパッチが当てられた全ての脆弱性をリストした「Oracle Java SE Critical Patch Update Advisory - October 2011」にリンクしている。私の初期解析にもとづいて、同サンプルが若干のデシリアライゼーションの問題を悪用していること、デシリアライゼーションに関連するRisk Matrixの唯一の脆弱性が「CVE-2011-3521」であることは明白だった。ZDIの報告は興味深い2つの事実を明らかにしている。第1に、脆弱性を発見したのは、最近Oracleに加わったフィンランド人Sami Koivuだった。第2に、この問題は、まさにエクスプロイトがコールするCORBAコードの一部であるIIOPデシリアライゼーションにある。これにより不可解な脆弱性は…「CVE-2011-3521」であることが裏付けられた。
土曜日、Contagiodumpが同じサンプルについて記事を書いた。Michael SchierはContagiodumpに電子メールを送り、Kahu Securityの最初のブログ記事に関して、脆弱性は「CVE-2012-0506」というよりはむしろ「CVE-2011-3521」の可能性が高いとコメントした。
私はMichaelが正しいことを裏付けられる。彼の記事には、同脆弱性に関するさらなる詳細が書かれている。
Javaクライアントを最新版にアップデートするか、必要ないときには停止するか、もっと良いのは、本当に必要でないなら完全に削除することを強くお勧めする。
Javaのバージョンは、以下から確認できる:java.com/en/download/installed.jsp
私が分析した同エクスプロイトのSHA1ハッシュは:83a04bd183ecb9e2598da9b67417cd57bc9f14fa
「エフセキュア アンチウイルス」は同エクスプロイトを「Exploit:Java/CVE-2011-3521.A」として検出する。
—————
では
Timo
第1のエクスプロイトは、最新のJava脆弱性で、イン・ザ・ワイルドで悪用されている「CVE-2012-0507」を標的とする。この脆弱性は(Windows版では)Oracleが2012年2月に修正している。私は第2のエクスプロイトの方が面白いと思う。これは明らかに何らかのJava CORBA脆弱性、おそらくはイン・ザ・ワイルドで悪用されていることはまだ知られていないJava脆弱性「CVE-2012-0506」に関係があるようだった。先週の金曜、私はこの不可解なエクスプロイトをより詳しくチェックすることにした。
最初私は、アプレットをデコンパイルし、分析した。しかし、「CVE-2012-0506」で一般に利用可能になったエクスプロイトやPOCは無かったため、特に気付いたことは無かった。そこで私は、可能性のある脆弱性のリストを狭めるため、Java Runtime Environmentの様々なバージョンでエクスプロイトをテストしようと考えた。最新バージョン(JRE6 update 31)を試すことから始め、予想通り、同エクスプロイトは既にパッチが当てられていたため、動作しなかった。次に私は、エクスプロイトが私のテスト環境で動く事を確認するため、より以前のバージョン(JRE6u25)でテストしたところ、実際に動いた。JRE update 30をテストし、エクスプロイトが動作しなかった時、私は少々驚いた。これは同サンプルは(私が期待していたように)「CVE-2012-0506」を悪用していないという、明らかな兆候だった。JRE6u30は依然としてこの脆弱性を持っていたからだ。
さまざまなJREをテストし続け、JRE6 update 29はこの不可解な脆弱性にパッチを当てたバージョンであると確定した。このUpdate Release Notesは、アップデートでパッチが当てられた全ての脆弱性をリストした「Oracle Java SE Critical Patch Update Advisory - October 2011」にリンクしている。私の初期解析にもとづいて、同サンプルが若干のデシリアライゼーションの問題を悪用していること、デシリアライゼーションに関連するRisk Matrixの唯一の脆弱性が「CVE-2011-3521」であることは明白だった。ZDIの報告は興味深い2つの事実を明らかにしている。第1に、脆弱性を発見したのは、最近Oracleに加わったフィンランド人Sami Koivuだった。第2に、この問題は、まさにエクスプロイトがコールするCORBAコードの一部であるIIOPデシリアライゼーションにある。これにより不可解な脆弱性は…「CVE-2011-3521」であることが裏付けられた。
土曜日、Contagiodumpが同じサンプルについて記事を書いた。Michael SchierはContagiodumpに電子メールを送り、Kahu Securityの最初のブログ記事に関して、脆弱性は「CVE-2012-0506」というよりはむしろ「CVE-2011-3521」の可能性が高いとコメントした。
私はMichaelが正しいことを裏付けられる。彼の記事には、同脆弱性に関するさらなる詳細が書かれている。
Javaクライアントを最新版にアップデートするか、必要ないときには停止するか、もっと良いのは、本当に必要でないなら完全に削除することを強くお勧めする。
Javaのバージョンは、以下から確認できる:java.com/en/download/installed.jsp
私が分析した同エクスプロイトのSHA1ハッシュは:83a04bd183ecb9e2598da9b67417cd57bc9f14fa
「エフセキュア アンチウイルス」は同エクスプロイトを「Exploit:Java/CVE-2011-3521.A」として検出する。
—————
では
Timo
