拡散中のアドビPDFゼロデイエクスプロイトを発見

アドビがCVE-2010-2862のアウトオブバンド修正プログラムをリリースした直後、McAfee Labsでは、新たなゼロデイ脆弱性を利用するマルウェアが拡散していることを発見しました。iOS上で脱獄を実現するPDFファイル表示の脆弱性やCVE-2010-2862と同様に、今回のゼロデイ脆弱性も、発生するのはAdobe ReaderがTrueTypeフォントを解析している間です。McAfee Labsの分析により、この脆弱性はAdobe Reader最新版(v9.3.4)に影響を及ぼすことが確認されました。

このゼロデイ脆弱性は、典型的なスタックバッファオーバーフローの脆弱性であるため、この問題点を悪用するのは比較的簡単なようです。「Adobe Reader」の最新版はスタック保護(/GS)付きでコンパイルされていますが、このエクスプロイトは、ROP(Return Oriented Exploitation)テクニックを用いて/GS保護やDEPを回避します。

同様のテクニックが、旧式のアドビTIFFファイル解析の脆弱性に利用されていたことが分かっています。こうしたすべてのことが、ROPがDEPや既存のスタック保護を回避する手段として、マルウェア作者に幅広く認められているという事実を指し示していると思われます。

McAfee Labsは現在、アドビPSIRTと協調しており、このバグの詳細情報をすでに提供済みです。同アドビチームは、この問題に積極的に取り組んでいます。Adobe Acrobatユーザーの皆さんには、各種製品のセキュリティ定義の更新をお勧めします。

導入前に押さえたい 運用基盤としてのSIEM 活用ポイント

セキュリティ運用効率化の実現基盤としてのSIEMについて、マカフィーが実際にお客様のSOC の体制確立の支援時に提供している、SIEM 導入前の計画から運用を開始までの流れや、継続するために提供しているサービス例も交えて、ホワイトペーパーとしてまとめました。

■ホワイトペーパー記載内容■
・SIEM と運用の効率化
・効率化:運用のどんな作業が楽になるのか?
・基盤:ログの統合、ノウハウ蓄積、情報共有
・不安:使いこなせるのだろうか?
・注意!:SIEM の有効活用は導入前に決まる?
・ビフォー・アフター:ログ・ノウハウ・情報の共有基盤化

この資料を読むことで、SIEM活用のポイントが理解でき、導入を成功させるための注意点を把握することができます。SIEMに興味がある方は是非ダウンロードしてお読みください。