Adobe ReaderとAcrobatへのゼロデイ攻撃の詳細判明--有効な署名付き、ASLRとDEPを迂回

　Adobe Reader、Acrobatに対するゼロデイ攻撃には、Microsoftの最新OSに備えられている攻撃に対する影響緩和策を迂回する巧妙なテクニックと、米国クレジットユニオンに属する署名付き証明書が使われていた。

　この攻撃は、特殊な細工を仕掛けたPDF文書を使ってAdobe Reader、Acrobatに存在する未パッチの脆弱性を悪用するもので、最初に発見されたのは、ゴルフインストラクターであるDavid Leadbetter氏のアドバイスが書かれているとされる「Golf Clinic.pdf」という名前の、電子メールの添付ファイルだ。

　悪質なスパムやウェブ上の活動を監視しているサイトであるContagio Malware Dumpの説明によれば、標的となった人がこの文書を開くと、このPDFファイルはユーザープロファイルのApplication Dataフォルダに同じ名前（小文字）のおとりファイルをドロップし、そのファイルを開いた後すぐにクラッシュする。

　ユーザーの%tmp%ディレクトリにダウンローダーファイルがドロップされ、academyhouse.usへの接続を行うwinhelp32.exeがダウンロードされる。

　Kaspersky Labのシニアウイルス研究員であるRoel Schouwenberg氏によれば（著者の所属に関する情報開示）、この攻撃コードは、ROP（Return Oriented Programming）テクニックを使って、Windows VistaとWindows 7に組み込まれている緩和策であるASLRとDEPを迂回している。

　ROPの詳細と、この手法を用いて脆弱性を悪用する手法について公の場で議論した研究者であるDino Dai Zovi氏は、Windowsの防御を迂回するのに使われている複雑なテクニックから、このPDF攻撃を「非常に大したもの」だと評した。

　またKasperskyのSchouwenberg氏は、このマルウェア攻撃では、米国のクレジットユニオンであるVantage Credit Unionの有効な署名によって電子署名が施されたファイルが、ドロップされていることを発見した。

　Schouwenberg氏は次のように述べている。

　これは、サイバー犯罪者が署名鍵を手にしているに違いないということを意味している。何かを思い出さないだろうか？もしStuxnetを思い浮かべていたのなら（StuxnetではRealtekとJMicronの漏洩した証明書を使ってファイルに署名していた）、われわれは同じことを考えていたということだ。

　Stuxnetが1つの流れを作ったのか、それともこれらのケースが単なる偶然の一致だったのかは、興味深い問題だ。わたしは、単なる偶然ではなかったのではないかと疑っている。マルウェアへの署名に、盗まれた有効な署名鍵を使用することは、2011年には増えるだろうとわたしは考えている。

　Adobeは、この脆弱性と攻撃が行われている事実について認めるアドバイザリを公開しており、これらの攻撃を阻止する緩和策はないと述べている。

　これらの攻撃を受けるのが心配なエンドユーザーは、PDFファイルの閲覧に別のソフトウェアを使用することを考慮すべきだ。