某所で公開している検証レポートでは、色々と制限もあるので
あくまで「個人的」に、デモを作成しました。
よって、このエントリは、私の所属する組織を代表するものではありません。
このエントリ作成現在、MSから、修正プログラムがリリースされておらず、
回避策のみの提示となっているので、その回避策実施後の
有効性チェックを行うなどに活用いただければと考えています。
回避策やその影響については下記のサイトを参照ください。
Windows のヘルプとサポート センターの脆弱性により、リモートでコードが実行される
デモの内容は以下のような流れです。
1. ブラウザでアクセス
2. 「ヘルプとサポートセンター」(helpctr.exe)が起動される。
3. 「コマンドプロンプト」(cmd.exe)が起動される。 ← 一瞬で消えます。
4. デスクトップにtwitterアドレスが書かれたテキスト「ntsuji.txt」が作成される
(echoコマンドを実行してテキストを作成しています。)
2010年6月17日追記:
4. のテキストの作成場所は、unDonutなどのIEコンポーネントを利用しているブラウザでは
デスクトップではなく、実行ファイルのCurDirに保存されるようです。
willowletさん 情報ありがとうございます。
以上の内容以外のことは実行していませんが
(ということ自体、信用していただくしかありませんが…)
本デモによって生じたいかなる損害にも責任は負いかねます。
細かいチェックはしていませんが、会社からのアクセスなどでは
アンチウイルスやIDSなどによる検知が行われる可能性があるため
自身の管理下にあるリソースでお試しください。
ご了承いただける方のみ下記リンクよりデモを体験してください。
2010年6月18日追記:
くどいようですが、デモをクリックするとアンチウイルスから警告が出る場合があります。
例えば、MSEでは「Exploit:Win32/CVE-2010-1885.A」と検出されます。
デモはこちら
ちなみにIE6でデモにアクセスした場合には以下のように
ヘルプとサポートセンターが起動し、その後は実行されませんでした。
Category Archives: exploit
Windowsのヘルプとサポートセンターの脆弱性(CVE-2010-1885)デモ
IEのポインタ参照処理の脆弱性(CVE-2010-0249)検証メモ
Googleが攻撃されて、それを逆ハックなんて触れ込みで注目されている(?)
IEのポインタ参照処理の脆弱性(CVE-2010-0249)について検証してみました。
検証では、脆弱性の存在するターゲットPC(Windows XP SP2 & IE 6)で
細工された応答を返すサーバにアクセスすることで脆弱性を利用した攻撃を行い、
任意のサーバの任意のポートにコネクトバックさせ、結果、シェルを奪取するというものです。
下図は、細工された応答を返すサーバを起動させたところです。
このサーバへアクセスさせた結果、ターゲットPCの制御を奪うことに成功しました。
この脆弱性は、このエントリー作成現在、
修正プログラムがリリースされいないため暫定の回避策を行うことになります。
Microsoft社が公開している回避策についてはマイクロソフト セキュリティ アドバイザリ (979352)をご覧ください。
図入りの解説としてはITmediaさんちのこのあたりが参考になると思います。
そもそも、IEを使わず別のブラウザを使うという回避策もアリだと思います。
今後、Gumblar亜種が、この脆弱性を利用しはじめたりなんかして
昨今のGumblar騒ぎに拍車がかからないことを祈っております。
# Gumblar騒ぎは個人的にち食傷気味だったりするんですよね。
Microsoft IIS のセミコロンバグ検証メモ
Microsoft IISにファイル名の処理に脆弱性が存在し、ファイルの拡張子による制限を回避することが可能だそうです。
具体的には、「test.asp;.jpg」として脆弱性の存在するホストに保存すると
IISはこれを「test.asp」として解釈するいうものです。
ホストにファイルをアップロード可能であるようなWebアプリケーションが存在し
そのアップロード先に実行権限が与えられていた場合に
この手法を使ってファイルをアップロードすると、IISの実行権限で任意のコマンドを実行できてしまうというものです。
この脆弱性はIIS6と5に存在するそうですので
# 2009/12/27追記
# ココでは6.0以前、7.5以外は影響をうけるとありますね。
IIS6で任意のディレクトリの内容を表示することができるaspファイル「dir.asp」を「dir.asp;.jpg」として
アップロードし、実行可能かどうかという検証を行いました。
結果、アップロードしたファイルは「dir.asp」として任意のディレクトリを表示することが可能でした。
このように攻撃を成功させるにはいくつかの条件が必要であるため
危険度は低いとも考えられますが、影響を受ける条件が揃った場合は、結構なインパクトだと思います。
現在のところ修正プログラムはリリースされていないため回避策は
Webアプリケーションで対応する場合には
ファイルアップロードを行うアプリ上でアップロードするファイル名を保存する際には名前をランダムなものにする。
システムで対応する場合には
アップロードファイル保存ディレクトリには実行権限を与えない。
などが考えられるかと思います。
ここまで書いて思ったのですが、この脆弱性はWebDAV経由からも利用できそうですね。
Firefoxのdocument.locationのURL偽装検証メモ
Firefox 3.5.5及び、3.0.15以前のdocument.locationプロパティに入力検証の脆弱性が発見されてました。
アドレスバーに表示されるURLを偽装できるそうで、フィッシングなんかに利用できそうな問題です。
自分のブラウザがたまたま3.5.5だったのでこの脆弱性をチェックするためにデモページも作ってみました。
デモページはココです。
デモページのリンク先は「http://n.pentest.jp/20093985/fake.html」なのですが
脆弱性が存在するバージョンのFirefoxでリンク先に飛ぶとアドレスバーが「https://www.google.com /」と表示されます。
本当のリンク先である「fake.html」のソースは下記の通りです。
<html>「https://www.google.com%20」を指定して、「window.stop」で読み込みを停止させている辺りがミソなんですね。
<title>!!!!!!!!!! fake page !!!!!!!!!</title>
<body onload="javascript:window.location = 'https://www.google.com%20';window.stop();void(0);">
<h1>Google?</h1>
</body>
</html>
昔、画像の位置によってロケーションバーを上書きしたように見せるなんてのもありましたが
今回のものは、文字列として上書きされているので気付きづらいだろうなーという印象を受けました。
FreeBSD rtldの環境変数処理における脆弱性検証メモ
FreeBSDセキュリティチームが緊急で暫定パッチをリリースするなどで
各所で話題になっている脆弱性の検証メモです。
この脆弱性は、Run-Time Link Editor(rtld)に欠陥が存在するそうで
LD_PRELOADやLIBMAPなどなどの環境変数が適切に検証されないことにより発生するようです。
結果については、下図の通りです。
ntsujiユーザがroot権限に昇格していることが分かるかと思います。
ボクが検証を行ったのは、7.2-STABLEなのですが、
8及びFreeBSD 9-CURRENTなども影響を受けることが確認されているようです。
091204追記:
正式版パッチがリリースされているようです。
ついでにCVEも振られています。
CVE-2009-4146
CVE-2009-4147
Internet Explorer スタイルオブジェクトの脆弱性検証メモ
あまりに情報が少ないのでおそらく0dayかなと勝手に思っているのですが、IEのスタイルオブジェクトにオーバーフローの脆弱性が発見されたようです。んでもって、それのExploitコードの検証を手元の環境で行ってみました。
検証でのターゲットは
Windows XP SP3 フルパッチ(09/11/21時点)
Internet Explorer 7.0.5730.13
です。
検証では、細工をしたHTMLファイルをIEに読み込ませて、tcp/31373ポートでシェルポートをリスンするということを行いました。HTMLをIEで読み込ませると結構な時間重い状態となりました(ボクのマシンが貧弱?)が無事シェルポートをオープンすることに成功しました。
下図はオープンさせたシェルポートにUbuntuのターミナルから接続したものです。
一部文字化けしているのはご愛嬌ってことで。
CVEも振られていないので暫くウォッチしてみようと思います。
2009/11/25追記:
マイクロソフトがアドバイザリを公開しています。
