cNotes 検索 一覧 カテゴリ

インジェクション Office Web Componentの脆弱性(973472)

Published: 2009/07/14

Office Web Componentの脆弱性(973472)を利用した攻撃についてです。

すでに一部の攻撃サイトに組み込み済みですね。

w2.9ot4.cnとか

hsw123.cnとか

of.htmlの中身がこれ

of.jsの中身がこれ

とりあえずウィルスチェックの対応は早い?そうでもないか。。。

あ、しまった。。。7/8につかまえてたこのサイトにはその時点ですでにこの新しいスクリプトが仕掛けられてました。。。

ってことはこの0-day利用の攻撃は同時だったってことか、、、

その他にもこのようなサイトには先週後半からこのスクリプトが仕込まれていたようです。

 whdsmc.com
 jesusblessing.com
 hayule.cn
 hao1314.biz

また、前回の972890の方でいまだ生き残っている攻撃サイトもツールの更新中のようです。

中には、失敗なのか、途中なのかわかりませんが、

前半のgo.jpgが973472用

後半のgo1.jpgが972890用

と、わけのわからない状態になっているサイトもありますね。。。

[カテゴリ:インジェクション観察日記]

by jyake