ウイルス対策ベンダーのトレンドマイクロのセキュリティ研究者は、Windows Media Player の既知の脆弱性を悪用した Web ベースの攻撃を発見しました。
「本日、最近(そして公表された)脆弱性であるMIDIリモートコード実行脆弱性(CVE-2012-0003)を悪用するマルウェアに遭遇しました」とトレンドマイクロの脅威対応エンジニア、ローランド・デラ・パス氏は木曜日のブログ投稿で述べた。
このセキュリティ上の欠陥は、被害者を騙して特別に細工された MIDI (Musical Instrument Digital Interface) ファイルを Windows Media Player で開かせることで悪用される可能性があります。
マイクロソフトは1月10日、月例パッチサイクルの一環として、この脆弱性に対するセキュリティ修正プログラムをリリースしました。同社は当時、「この脆弱性を悪用した攻撃者は、影響を受けるシステムを完全に制御できる可能性があります」と述べています。
トレンドマイクロの研究者によって特定された、いわゆるドライブバイダウンロード攻撃は、悪意のある HTML ページを使用して、不正な MIDI ファイルを Windows Media Player ブラウザ プラグインの埋め込みオブジェクトとして読み込みます。
攻撃に成功すると、標的のシステムにコンピュータトロイの木馬がダウンロードされ実行されます。トレンドマイクロはこれをTROJ_DLOAD.QYUAとして検出します。「TROJ_DLOAD.QYUAについてはまだ詳細な分析を行っていますが、これまでのところ、ルートキット機能を含む深刻なペイロードが確認されています」とデラ・パス氏は述べています。
被害者がどのようにして悪質なページを訪問するように誘導されるかはまだ明らかではないが、この攻撃は特定の組織や集団を狙ったものではないようだとトレンドマイクロの上級ウイルス対策研究者デビッド・サンチョ氏は述べた。
研究者によると、この攻撃は現時点では広範囲に及んでいないものの、近い将来、他の攻撃者が同じ脆弱性を悪用し始める可能性があるという。「前述の通り、これは公開されている脆弱性なので、将来的に同様の攻撃が発生する可能性はあります」とサンチョ氏は述べた。
トレンドマイクロは、MicrosoftがMS12-004セキュリティ情報で発表したセキュリティパッチをインストールすることを推奨しています。この脆弱性はWindows XP、Windows Server 2003、Windows Vista、Windows Server 2008に影響しますが、Windows 7およびWindows Server 2008 R2には影響しません。
一般的に、ドライブバイダウンロード攻撃の被害に遭わないよう、ユーザーはコンピュータにインストールされているオペレーティングシステムやその他のソフトウェアを常に最新の状態に保つ必要があります。また、Webコンテンツを常時スキャンできるウイルス対策プログラムを実行することも推奨されます。
