2010年4月初旬、PDF仕様「Launch action」を悪用した PDF（以降、悪意ある PDF）が確認されました。UnderForge of Lack の Gnome さんから Dynamoo's Blog で紹介されていた悪意ある PDF をいただきましたが、自分で探した限りでは見つかりませんでした。Pro…

2010年4月12日の日記で、PDF 仕様「Launch action」について僕の思うことをまとめました。しかし、先の日記でやり残したことがあります。それは、Windows 以外の OS の各 PDF ビューアにおける「Launch action」の挙動です。そこで、今回は Linux の各 PDF …

2010 年 3 月 29 日に Didier Stevens が公開した PDF 仕様 「Launch action」の悪用手法（元記事はこちら）が話題になっていますね。Didier Stevens 氏の PoC(zip) を Adobe Reader 9.3.1 で開いてみると、警告ダイアログが表示され、[OK] をクリックすると…

Gumblar（いわゆるガンブラー）騒ぎで、「Web サイトを閲覧させて攻撃コードを実行させる」手法が広く認知されたのかなーと思う今日この頃です。過去 2005 年頃の SQL インジェクションによるウェブサイト大量改ざんや、2007 年頃に MPack のようなツールキ…

先の日記で Gumblar.x Exploit Code Checker(以降、gChecker)を公開してから、2週間近くが経過しました。誰か使ってくれるかなーという懸念はありましたが、思ったより使用してくれた方がいるようで、少しは役に立ったのかなと思います。本ツールをリンクし…

Gumblar.x*1に感染しているウェブサイトが1000サイト以上あったとの注意喚起があったり、某大学の学園祭サイトまで感染していたりと Gumblar.x が埋め込まれたウェブサイトの話題はあがってきます。しかし、Gumblar.x から最終的に感染する不正プログラムの…

IBM ISS の SOC レポートから Gumblar.x*1の活動は鎮静化しているようです。しかし、Gumblar.x から最終的に感染する Infostealer.Daonol*2の被害がパソコンメーカ各社のサポート窓口に相次いでいる模様です。パソコンメーカ各社の注意喚起を読んでみると、…

2009年10月下旬に確認された Gumblaer 亜種（仮）が悪用する脆弱性は、次の 4 つが確認されています。 ・Adobe Reader の脆弱性 ・Adobe Flash Player の脆弱性 ・Microsoft Office Web コンポーネント の脆弱性 （MS09-043） ・Internet Explorer 7 の脆弱…

UnderForgeを見に行ったら、2009年5月に流行した Gumblar が活動を再開したとのこと。関連記事を色々と見ていると、Exploit コードに誘導するまでがこれまでと異なる模様。 とある php ファイルを辿ってみた UnderForge さんとこで紹介されていた .php への…

ModSecurity Core Rule Set(CRS)を読み解く【その1：global_config, config】に続いて、Core Rule Set(CRS)の検知ルールを見てみた。 確認したバージョン modsecurity-crs v2.0.2（2009年10月2日現在） CRS の base_rules 以下の .conf ファイルが ModSecuri…

Apache モジュールである ModSecurity*1 の Core Rule Set（CRS）*2となっていた。 確認したバージョン modsecurity-crs v2.0.2（2009年10月2日現在） CRS v2.0.2 の tar 玉をダウンロードし展開すると、以下のような構成となっている。解凍したディレクトリ…

ここ一週間、意図的にセキュリティ関連の情報を見ないようにしていたので、ざっとここ一週間のめぼしいセキュリティトピックスをメモがてらまとめる。 Microsoft IIS FTP サービス の脆弱性 IIS FTP サービスに Stack-based バッファオーバーフロー（Buffer …