残念ながら、現在の脅威の状況では、Adobe Flash Player は依然としてシステム侵害の格好の攻撃媒介です。ここ数年、Talos は、攻撃者がゼロデイ脆弱性を悪用してシステムに侵入し侵害した事例を複数確認してきました。また、Talos は CVE-2016-1019(Adobe Flash のゼロデイ脆弱性)の報告が現在環境で侵害を受けており、Windows 10 もしくはそれ以前のバージョンを実行するシステムに影響を与えていることも認識しています。
4 月 5 日に公開された Adobe Flash Player セキュリティ アドバイザリによると、Flash Player 21.0.0.197 およびそれ以前のバージョンは CVE-2016-1019 による侵害の危険にさらされています。これには Flash Player 20.0.0.306、Flash Player 延長サポート リリース(ESR) 18.0.0.333 およびそれ以前のバージョンが含まれます。ただし、2016 年 3 月 10 日付けで、Adobe は Flash 21.0.0.182 およびそれ以降のバージョン に対する CVE-2016-1019 の侵害を防ぐ軽減策を発表しました。
Adobe Flash 侵害における攻撃性質を踏まえ、Talos では、この脆弱性の影響への軽減策として、不要なブラウザ プラグインを無効にするか、または削除するよう全ての人に注意喚起しています。これを実行できない場合は、お持ちの Flash を今すぐアップグレードすることが推奨されます。これは、特に Flash Player ESR を使用中の組織にとって非常に重要です。Adobe のアドバイザリによると、21.0.0.182 で導入された対策は ESR 18.0 には有効ではありません。Flash を追加または削除することができない場合は、当該の Adobe Flash をブラウザ上で「Click to Play」方式に設定するか、もしくはサンドボックスを効果的に活用するブラウザを使用することが推奨されます。
Talos はこのゼロデイ脆弱性への対応として、次の Snort ルールをリリースしています。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。最新のルールの詳細については、Firepower Management Center、FireSIGHT Management Center、または Snort.org を参照してください。
Snort ルール:38429-38434
AMP では、Nuclear exploit kit や Magnitude exploit kit などに見られるような、実環境で悪用可能な Flash のエクスプロイトへの対策が自動的にカバーされています。
本稿は 2016年4月7日に Talos Group のブログに投稿された「NEWS FLASH! ANOTHER ADOBE FLASH ZERO-DAY VULNERABILITY SPOTTED IN THE WILD」 の抄訳です。