Adobe Systemsの「Adobe Reader」、および「Adobe Acrobat」の9.1.3までのバージョンを狙った新たなゼロデイ攻撃が、JavaScriptを利用してコンピュータにバックドアを仕掛けていると、トレンドマイクロの研究者が米国時間10月9日に警告を発した。
トレンドマイクロはブログ記事の中で、この攻撃を「Troj_Pidief.Uo」というトロイの木馬だと断定している。Troj_Pidief.Uoは、JavaScriptベースのマルウェア「Js_Agent.Dt」を含むPDFファイルとして届き、「Bkdr_Protux.Bd」というバックドアを仕掛ける。
トレンドマイクロによると、この攻撃の影響を受けるのは、Microsoftの「Windows 98」「Windows Me」「Windows NT」「Windows 2000」「Windows XP」「Windows Server 2003」のユーザーだという。
ブログ記事には、マルウェアの動作、特にそのシェルコード(ペイロードとして使用されるコード断片)の動作に関する技術的詳細が書かれている。それによると、このJavaScriptは、「ヒープスプレー」という技法で任意コードを実行するのに利用されるという。
「われわれの確認したところ、(ヒープスプレー技法が用いられた)シェルコードは同じPDFファイル内の別のシェルコードを実行し」、それによってバックドアを解凍して実行すると、トレンドマイクロは述べている。バックドアは「PDFファイルにも仕込まれるが、ウェブからダウンロードされる通常のファイルには仕込まれない」という。
トレンドマイクロによると、複数の変種が存在するBkdr_Protux.Bdバックドアは通常、侵入したコンピュータに対する無制限のユーザーレベルのアクセス権を攻撃者に与え、これまでは「Microsoft Office」ファイルの脆弱性を突いていたという。
Adobeは10月8日、この脆弱性を修正するアップデートを、Microsoftの月例パッチが公開される10月13日にリリースすると発表している。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ
