最近、HotmailアカウントがMicrosoftウェブメールシステムのゼロデイ脆弱性を狙った攻撃の標的となりました。この攻撃は、悪意のあるメールを開いた際にユーザーの介入なしに実行されるため、他の攻撃よりも巧妙です。
ほとんどの攻撃は、ユーザー側による何らかの追加アクションを必要とします。マルウェアは、多くの場合、添付ファイルやメールに埋め込まれたURLリンクの形で侵入します。これらの攻撃ベクトルは十分に成功しますが、少なくとも一部のユーザーは、この時点で添付ファイルを開いたりリンクをクリックしたりしないよう十分に理解しています。しかし、メッセージを閲覧した途端に機能する今回の脅威のように、はるかに大きな脅威となる可能性があります。
トレンドマイクロの研究者たちはこの脅威を検出し、その仕組みを詳しく調査しました。トレンドマイクロのブログ記事によると、細工されたメッセージを閲覧すると、悪意のあるスクリプトが自動的に実行され、Hotmailアカウントからメールメッセージと連絡先情報が盗まれます。
この攻撃は、標的型攻撃として特別に設計されたものと思われます。スクリプトは、ユーザーアカウント名と番号という2つの変数を含むURLに接続します。ユーザーアカウント名は攻撃対象となるHotmailアカウントであり、番号は実行される悪意のあるペイロードを識別します。
このURLは、トレンドマイクロがJS_Agent.SMJとして識別する別の悪意のあるスクリプトも呼び出します。このスクリプトは、Hotmailを起動し、感染したHotmailアカウントに送信されたすべてのメールを指定されたメールアドレスに転送します。
トレンドマイクロは、Hotmailを欺き、攻撃者を無意識のうちに助けてしまう巧妙なコードも発見しました。「実際のメール本文の前に埋め込まれた細工されたコードを解析したところ、Hotmailのフィルタリング機構がコードに作用すると、皮肉にもCSSパラメータに文字を挿入し、スクリプトを2行に分割してWebブラウザのCSSエンジンでレンダリングできるようにすることが判明しました。これにより、サイバー犯罪者はスクリプトを改ざんし、Hotmailのログインセッションで任意のコマンドを実行できるようになります。」
トレンドマイクロは、MAPP (Microsoft Active Protections Program) のメンバーシップの一環としてマイクロソフトにこの問題を開示しており、マイクロソフトはすでにこの問題に対処するための Hotmail のアップデートをリリースしています。
