インジェクション Office Web Componentの脆弱性(973472)
Published: 2009/07/14
Office Web Componentの脆弱性(973472)を利用した攻撃についてです。
すでに一部の攻撃サイトに組み込み済みですね。
w2.9ot4.cnとか
hsw123.cnとか
of.htmlの中身がこれ
of.jsの中身がこれ
とりあえずウィルスチェックの対応は早い?そうでもないか。。。
あ、しまった。。。7/8につかまえてたこのサイトにはその時点ですでにこの新しいスクリプトが仕掛けられてました。。。
ってことはこの0-day利用の攻撃は同時だったってことか、、、
その他にもこのようなサイトには先週後半からこのスクリプトが仕込まれていたようです。
whdsmc.com jesusblessing.com hayule.cn hao1314.biz
また、前回の972890の方でいまだ生き残っている攻撃サイトもツールの更新中のようです。
中には、失敗なのか、途中なのかわかりませんが、
前半のgo.jpgが973472用
後半のgo1.jpgが972890用
と、わけのわからない状態になっているサイトもありますね。。。
by jyake