ランサムウェア 事例ブログ

FFRI BLOG

FFRI yarai が「CVE-2018-4990」脆弱性を利用した攻撃を検知

2018年5月14日にアドビシステムズ社から「Adobe Acrobat」「Adobe Reader」の脆弱性「CVE-2018-4990」に関する更新プログラムが公開されています。また、5月17日にはアドビシステムズ社より本脆弱性を利用した攻撃が確認されており、高い適用優先度のもと、利用者へ早期適用を呼びかけています。


同一PDFファイルに「Acrobat/Reader」と「Windows」のゼロデイ脆弱性 - 併用で高い攻撃力


「Adobe Acrobat/Reader」脆弱性、すでに悪用ファイルが流通 - PoC公開も


更新:Adobe Acrobat および Reader の脆弱性対策について(APSB18-09)(CVE-2018-4990等)








 

【マルウェア概要】

今回FFRIでは「CVE-2018-4990」脆弱性を利用したマルウェアを入手し、その脅威について検証しました。


「CVE-2018-4990」はメモリの二重解放を引き起こす脆弱性です。この脆弱性を悪用された場合、アプリケーションプログラムが異常終了する、攻撃者によってパソコンが制御されるなど、様々な被害が発生する可能性があります。





この脆弱性の影響範囲はWindows、macOSに影響があります。


製品バージョンプラットフォーム
Acrobat DC2018.011.20038 およびそれ以前のバージョンWindows, macOS
Acrobat Reader DC2018.011.20038 およびそれ以前のバージョンWindows, macOS
Acrobat 20172017.011.30079 およびそれ以前のバージョンWindows, macOS
Acrobat Reader 20172017.011.30079 およびそれ以前のバージョンWindows, macOS
Acrobat DC
(Classic 2015)
2015.006.30417 およびそれ以前のバージョンWindows, macOS
Acrobat Reader DC
(Classic 2015)
2015.006.30417 およびそれ以前のバージョンWindows, macOS




【被害に遭わないための対策】

今回の脆弱性攻撃から身を守るために、Adobe Reader/Acrobatのバージョンを最新に更新しておくこと、信頼できるサイト以外のPDFファイルを不用意に開かないこと、一般的なアンチウイルスソフトのパターンファイルを最新に更新しておくこと、そして次世代エンドポイントセキュリティのようなパターンファイルに頼らないセキュリティ対策を取ることが大切です。





【FFRI yaraiによる防御】

FFRI yaraiは2017年12月にリリースしたエンジンで検知・防御していることを確認しました。
CVE-2018-4990脆弱性を利用した攻撃についてZDP(脆弱性攻撃検出)で検知・防御します。


CVE-2018-4990脆弱性を利用した攻撃についてZDP(脆弱性攻撃検出)で検知・防御します。


FFRI yaraiは既存のアンチウイルスソフトのようにパターンファイルやシグネチャを利用する後追い技術ではありません。検査対象のプログラムを多角的なアプローチで分析し、ヒューリスティックと機械学習による「先読み防御」技術を搭載した5つの防御エンジンで、既知・未知のマルウェアや脆弱性攻撃を高精度で防御します。 詳細は、「CODE:Fの核となる5つのエンジンによる多層防御とは」をご覧ください。
CODE:Fの核となる5つのエンジンによる多層防御とは


■検証環境

Windows 7 ✕ FFRI yarai 2.11.0(2017 年 12月リリース)
※VirusTotal(注) によると、初回登録時の検出率は以下となっています。
検知した検体について、2018-03-30 17:30:48 UTC時点の検出率は0 / 59


■検証した検体のハッシュ値(SHA-256)

4b672deae5c1231ea20ea70b0bf091164ef0b939e2cf4d142d31916a169e8e01


CVE-2018-4990脆弱性を利用した攻撃はすでに確認されており、被害に遭わないためにも早急な対策が必要と言えます。
FFRIでは今回ご紹介したような新たな脅威に対抗するため、防御エンジンの開発を続けております。

(注)ファイルやURLを分析しマルウェア検査を行うオンラインスキャンサービス

その他最新事例・ホワイトペーパーのダウンロードはこちらから

関連記事

「EternalBlue」脆弱性攻撃を利用したランサムウェア「Satan」 vs. FFRI yarai

エンドポイント多層防御が、3度に渡って、「ChessMaster」の攻撃キャンペーンを検知・防御

FFRI yarai が「CVE-2018-4878」脆弱性を利用した攻撃を検知

ランサムウェア「GandCrab」 vs. FFRI yarai

バンキングマルウェア「Panda Banker」 vs. FFRI yarai

ランサムウェア「SpriteCoin」 vs. FFRI yarai

ランサムウェア「Rapid」 vs. FFRI yarai

「楽天カード株式会社」を装った不審なメールに関する注意喚起

ランサムウェア「Spider」 vs. FFRI yarai

ランサムウェア「Bad Rabbit」vs. FFRI yarai

FFRI yaraiがファイルレスマルウェアを検知

【速報】「株式会社ジャパントラスト 佐々木 康人」を名乗る不審メールに関する注意喚起

FFRI yarai防御実績

FFRI yarai導入事例

pagetop