概要
Microsoftが2014年4月27日、InternetExplorerの脆弱性情報を公開しました。FireEyeによればこの脆弱性を悪用する標的型攻撃を確認しており、同社では「Operation Clandestine Fox.」と名前を付けています。既に子の脆弱性を修正するプログラムが公開されています。ここではIEのゼロデイに関係する情報をまとめます。
Microsoftの公開情報
脆弱性による影響やその対象、攻撃シナリオの詳細は以下を参照。
- マイクロソフト セキュリティ アドバイザリ 2963983 Internet Explorer の脆弱性により、リモートでコードが実行される
- セキュリティ アドバイザリ 2963983「Internet Explorer の脆弱性により、リモートでコードが実行される」を公開 - 日本のセキュリティチーム - Site Home - TechNet Blogs
- [回避策まとめ] セキュリティ アドバイザリ 2963983 – Internet Explorer の脆弱性により、リモートでコードが実行される - 日本のセキュリティチーム - Site Home - TechNet Blogs
- [FAQ まとめ] セキュリティ アドバイザリ 2963983 – Internet Explorer の脆弱性により、リモートでコードが実行される - 日本のセキュリティチーム - Site Home - TechNet Blogs
- セキュリティ アドバイザリ (2963983) の脆弱性を解決する MS14-021 (Internet Explorer) を定例外で公開 - 日本のセキュリティチーム - Site Home - TechNet Blogs
- Microsoft Security Advisory 2963983 Vulnerability in Internet Explorer Could Allow Remote Code Execution
- Microsoft releases Security Advisory 2963983 - MSRC - Site Home - TechNet Blogs
- More Details about Security Advisory 2963983 IE 0day - Security Research & Defense - Site Home - TechNet Blogs
- Out-of-Band Release to Address Microsoft Security Advisory 2963983 - MSRC - Site Home - TechNet Blogs
- Security Update Released to Address Recent Internet Explorer Vulnerability - MSRC - Site Home - TechNet Blogs
- Updating Internet Explorer and Driving Security - The Official Microsoft Blog - Site Home - TechNet Blogs
CVE-2014-1776の影響対象
Microsoftによれば現在サポートされている全てのIEが影響を受けますが、FireEyeが確認しているExploitはIE9以降が対象となっています。WindowsOSやシステムの種類(32/64bit)について、詳細は明らかにされていません。
| InternetExplorer | CVE-2014-1776の影響有無 | Windows XP | Windows 7 | Windows 8 | 悪用グループ |
|---|---|---|---|---|---|
| IE6 | 影響有り | − | − | − | − |
| IE7 | 影響有り | − | − | − | − |
| IE8 | 影響有り | 攻撃を確認 | − | − | Operation Clandesitne Foxとは別グループ |
| IE9 | 影響有り | − | 攻撃を確認 | 攻撃を確認 | Operation Clandesitne Fox |
| IE10 | 影響有り | − | 攻撃を確認 | 攻撃を確認 | Operation Clandesitne Fox |
| IE11 | 影響有り | − | 攻撃を確認 | 攻撃を確認 | Operation Clandesitne Fox |
尚、WindowsXPはサポートが終了しているために、XP上のIEが影響を受けるかはセキュリティアドバイザリでは言及されていません。しかし、その後Symantecの調査によりWindowsXP上のIEも脆弱性の影響を受けることが明らかになりました。*1
またFireEyeによりWindowsXPを対象にした攻撃が確認されています。
悪用事例に関する情報
Operation Clandestine Fox、および別グループによる攻撃
FireEyeがCVE-2014-1776を悪用する標的型攻撃を報告しています。
New Zero-Day Exploit targeting Internet Explorer Versions 9 through 11 Identified in Targeted Attacks | FireEye Blog
またFireEyeがCVE-2014-1776を悪用する複数のグループによる攻撃を確認したと報告しています。
- “Operation Clandestine Fox” Now Attacking Windows XP Using Recently Discovered IE Vulnerability | FireEye Blog
検体名
| ベンダ | 検知名 |
|---|---|
| Symantec | Bloodhound.Exploit.552 |
| Avira | EXP/CVE-2014-1776 |
| ESET | Win32/Exploit.CVE-2014-1776 |
| Sophos | Troj/SWFExp-CV |
| Microsoft | Exploit:SWF/CVE-2014-1776 |
| TrendMicro | SWF_EXPLOYT.OCF |
検体情報
- SHA256:00db30d185678bacc8f3fa12f6a642ca923d93219a9447b448e0e1e1c97b2c69
rule exploited_CVE_2014_1776 : WER CVE20141776
http://pastebin.com/raw.php?i=jebp9aUs
{
meta:
author = "MalwrSignatures"
date = "2014/05/01"
description = "Detects a Internet Explorer Crash Report suspected to be caused by CVE-2014-1776"
ref = "http://community.websense.com/blogs/securitylabs/archive/2014/04/28/cve-2014-1776-using-crash-reports-to-find-possible-exploited-vulnerabilities.aspx"
filetype = "wer"
strings:
$exec = /Sig\[[0-9]+\]\.Name=Application Name[\n\r]+Sig\[[0-9]+\]\.Value=iexplore\.exe/ wide nocase
$modu = /Sig\[[0-9]+\]\.Name=Fault Module Name[\n\r]+Sig\[[0-9]+\]\.Value=VGX\.DLL/ wide nocase
$time = /EventTime=13[89]/ wide nocase
condition:
all of them
}
- SHA256:0ea7194adb57783ee97e228237f21b0426d7cb467550e747c805ad1de4377295
対策
2014年5月2日、Microsoftより緊急にて更新プログラムMS14-021が公開されました。当該プログラムをインストールすることで脆弱性が修正されます。またサポートが終了しているWindowsXPに対しても更新プログラムが公開されました。
MS14-021インストールにあたっての注意点
- MS14-018が必要となるため、MS14-021インストール前にMS14-018がインストールされている確認する。
- WindowsXP、Windows 8.1RTにも更新プログラムが公開されている。
- IE11を利用している場合、二種類のMS14-021が存在する。
| IE11を動かすOS | インストール対象の更新プログラム |
|---|---|
| Windows 7 Windows Server 2008 R2 に2929437更新プログラムをインストール済みの場合 |
2964358 セキュリティ更新プログラム |
| Windows 8.1 Windows Server 2008 R2 Windows RT 8.1 に2919355 更新プログラムをインストール済みの場合 |
2964358 セキュリティ更新プログラム |
| それ以外の場合 | 2964444 セキュリティ更新プログラム |
- 回避策をとっていた場合の対応
なお、一部の回避策の行っていた場合は更新プログラムをインストールする前に、事前に解除を行っておく必要があります。
| 回避策 | 更新プログラムインストール前に実施すべき点 |
|---|---|
| EMETの利用 | 使用上問題なければ特に必要なし。 |
| 他ブラウザの利用 | 使用上問題なければ特に必要なし。 |
| ゾーンセキュリティレベル「高」設定 | 使用上問題なければ特に必要なし。 |
| VMLコンポーネントの無効化 | 使用上問題なければ特に必要なし。 なお更新プログラムをインストールしても再登録は行われない。*3 |
| IE拡張保護モードの有効化 | 使用上問題なければ特に必要なし。 |
| Flashプラグインの無効化 | 使用上問題なければ特に必要なし。 |
| VGX.DLL上のACLの修正 | 更新プログラムをインストールする前に回避策の解除が必要。 |
回避策
MS14-021がインストールできない場合、次のいずれかの回避策を行うことでCVE-2014-1776の影響の緩和が可能であるとMicrosoftやFireEyeが報告しています。お約束ですが、本番環境へインストールする前に十分な検証を行ってください。
| 回避策 | Microsoft | FireEye | Symantec | TrendMicro | US-CERT*4 |
|---|---|---|---|---|---|
| EMETの利用 | SAに記述あり | Exploit失敗を確認 | 推奨 | − | 推奨(SA記載あり) |
| 他ブラウザの利用 | − | − | 推奨 | 推奨 | SA記載の内容ができない場合推奨 |
| ゾーンセキュリティレベル「高」設定 | SAに記述あり | − | − | − | 推奨(SA記載あり) |
| VMLコンポーネントの無効化 | SAに記述あり | − | − | − | 推奨(SA記載あり) |
| IE拡張保護モードの有効化 | SAに記述あり | Exploit失敗を確認 | − | − | 推奨(SA記載あり) |
| Flashプラグインの無効化 | − | Exploit失敗を確認 | − | − | − |
(注)「−」は特に言及がなかっただけで、「推奨していない」という意味ではありません。
(1) EMETを利用する
EMETを利用していればExploitからの保護されるとMicrosoft、FireEyeが報告しています。
- 当該脆弱性に対してEMET 4.0、4.1 Update1(またはEMET 5.0 TP)が緩和策として有効。
- 当該脆弱性に対してEMET 3.0は緩和策として有効ではない。
- WindowsXPにEMET4.1を導入して当該脆弱性の緩和策となるかは不明。
| Windows OS | EMET 4.0/4.1 | EMET 5.0 TP |
|---|---|---|
| Windows XP SP3 | ○インストール可能 | ×未サポート |
| Windows Vista SP1以降 | ○インストール可能 | ○インストール可能 |
| Windows 8 | ○インストール可能 | ○インストール可能 |
| Windows 8.1 | ×未サポート | ○インストール可能 |
| Windows Server 2003 SP1以降 | ○インストール可能 | ○インストール可能 |
| Windows Server 2008 | ○インストール可能 | ○インストール可能 |
| Windows Server 2008 R2 | ○インストール可能 | ○インストール可能 |
| Windows Server 2012 | ×未サポート | ○インストール可能 |
(2) 脆弱性が修正されるまでの間、他のブラウザを使用する
FireFoxやChrome、OperaといったIE、及びIEのコンポーネントを使用しているブラウザ以外を使用すれば影響をうけません。ただし、特定のWebシステムがIEにしか対応していない場合IEと他ブラウザの使い分けをしなくてはなりません。
(3) インターネットやローカルイントラネットのセキュリティレベルを「高」にする
ゾーンのセキュリティレベルを「高」に設定することでアクティブスクリプトとActiveXコントロールが無効化されるため影響を緩和できます。ただしWebサイトによっては動かなくなる場合があります。
(4) IEの「拡張保護モード」を有効にする(64bit版OSで動作するIE10,IE11のみ)
InternetExplorer 10,11の拡張保護モードを有効にすることで影響を緩和することが可能とFireEyeが報告しています。拡張保護モードはインターネットオプションの詳細タブから設定可能です。当該設定が有効となっている場合、Webサイトによっては閲覧できなくなるといった弊害も発生する可能性があることから、この設定は既定では無効となっています。
またMicrosoftは「拡張保護モードを有効にする」と「拡張保護モードで64ビットプロセッサを有効にする」が有効になっている場合に影響を緩和できると報告しており、FireEyeの報告と少し異なります。「拡張保護モードで64ビットプロセッサを有効にする」は64bit版のWindows 8(8.1)にのみ存在しますが、Windows7では拡張保護モードを有効にすれば64bitでの動作となるため、次の設定をすれば緩和できるようです。
| OS | システムの種類 | 当該設定による影響の緩和 | 拡張保護モード | 64bitプロセッサでの有効 |
|---|---|---|---|---|
| Windows 7 | 32bit | 不可? | − | − |
| Windows 7 | 64bit | 可能 | 有効に設定 | − |
| Windows 8(8.1) | 32bit | 不可? | − | − |
| Windows 8(8.1) | 64bit | 可能 | 有効に設定 | 有効に設定 |
「拡張保護モード」についての詳細は以下のMicrosoftのエントリが参考になりました。
(5) VMLコンポーネントを無効にする
攻撃に悪用されているVMLコンポーネントを無効化することで影響を緩和します。具体的には次のコマンドを実行してVGX.dll無効化します。なおこのコマンドは管理者権限で実行する必要があります。また更新プログラムインストール後は再度有効にする必要があります。
32bit版Windowsの場合
- 無効化方法
管理者権限でコマンドプロンプトを開き次のコマンドを実行
"%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"
- 有効化方法
管理者権限でコマンドプロンプトを開き次のコマンドを実行
"%SystemRoot%\System32\regsvr32.exe" "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"
64bit版Windowsの場合
- 無効化方法
管理者権限でコマンドプロンプトを開き次の2つのコマンドを実行
"%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"
"%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles(x86)%\Microsoft Shared\VGX\vgx.dll"
- 有効化方法
管理者権限でコマンドプロンプトを開き次の2つのコマンドを実行
"%SystemRoot%\System32\regsvr32.exe" "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"
"%SystemRoot%\System32\regsvr32.exe" "%CommonProgramFiles(x86)%\Microsoft Shared\VGX\vgx.dll"
CVE-2014-1776関連トピックのタイムライン
参考
- New Internet Explorer 0-day | The Laws of Vulnerabilities | Qualys Community
- Microsoft Internet Explorer 제로데이(0-Day) 취약점 : CVE-2014-1776 (2014.4.27)
- Zero-day Internet vulnerability let loose in the wild | Symantec Connect Community
- Vulnerability Note VU#222929 - Microsoft Internet Explorer use-after-free vulnerability
- JVNVU#92280347 Internet Explorer に解放済みメモリ使用 (use-after-free) の脆弱性
- IE Zero Day and VGX.dll
- Product Coverage and Mitigation for CVE-2014-1776 (Microsoft Internet Explorer) | McAfee
謝辞
このまとめは次の皆様の情報を元に修正・追加を行っています。ありがとうございます!
- 2014/04/30 Microsoft Security Advisoryが更新されていることについて教えていただいた@masa141421356さん
更新履歴
- 2014/04/27 PM 新規作成
- 2014/04/28 AM EMET対応OSについて追記
- 2014/04/28 PM WindowsXPも影響を受けることを追記
- 2014/04/28 PM 検知名を追記
- 2014/04/29 PM 最新情報を反映
- 2014/04/30 PM Microsoft SA更新に伴い情報を反映
- 2014/05/01 PM 検体情報を追加
- 2014/05/02 AM 更新プログラムの公開、WinXP攻撃対象となっている件について追記
- 2014/05/03 AM 更新プログラムの箇所を更新、Yaraルールを追記
- 2014/05/07 PM 更新プログラムの箇所に誤りがあったため修正
*1:Internet Explorer にパッチ未公開のゼロデイ脆弱性,Symantec,2014/04/28アクセス
*2:Nasty IE Zero-Day Used in Attacks Against Defense, Financial Sectors: FireEye,SecurityWeek,2014/04/28アクセス:魚拓
*3:2014/05/07 記載内容が誤っていたため修正しました。
*4:Microsoft Internet Explorer Use-After-Free Vulnerability Guidance,US-CERT,2014/04/30アクセス
*6:閲覧ソフト「エクスプローラー」で警告 米当局,日本経済新聞,2014/04/29アクセス:魚拓
*7:IE:バージョン6〜11に脆弱性見つかる,毎日新聞,2014/04/29アクセス:魚拓
*8:「エクスプローラー使うな」と警告 米国土安全保障省 ハッカー攻撃の危険,産経ニュース,2014/04/29アクセス:魚拓
*9:閲覧ソフト、自治体に注意喚起 欠陥問題で政府,共同通信,2014/05/02アクセス:魚拓
*10:IEのぜい弱性指摘「至急対策を」,NHK,2014/05/02アクセス:魚拓
