6月 15

Windowsのヘルプとサポートセンターの脆弱性(CVE-2010-1885)デモ

某所で公開している検証レポートでは、色々と制限もあるので
あくまで「個人的」に、デモを作成しました。
よって、このエントリは、私の所属する組織を代表するものではありません。

このエントリ作成現在、MSから、修正プログラムがリリースされておらず、
回避策のみの提示となっているので、その回避策実施後の
有効性チェックを行うなどに活用いただければと考えています。
回避策やその影響については下記のサイトを参照ください。
Windows のヘルプとサポート センターの脆弱性により、リモートでコードが実行される

デモの内容は以下のような流れです。

1. ブラウザでアクセス
2. 「ヘルプとサポートセンター」(helpctr.exe)が起動される。
3. 「コマンドプロンプト」(cmd.exe)が起動される。 ← 一瞬で消えます。
4. デスクトップにtwitterアドレスが書かれたテキスト「ntsuji.txt」が作成される
(echoコマンドを実行してテキストを作成しています。)

2010年6月17日追記:
4. のテキストの作成場所は、unDonutなどのIEコンポーネントを利用しているブラウザでは
デスクトップではなく、実行ファイルのCurDirに保存されるようです。
willowletさん 情報ありがとうございます。

以上の内容以外のことは実行していませんが
(ということ自体、信用していただくしかありませんが…)
本デモによって生じたいかなる損害にも責任は負いかねます。

細かいチェックはしていませんが、会社からのアクセスなどでは
アンチウイルスやIDSなどによる検知が行われる可能性があるため
自身の管理下にあるリソースでお試しください。

ご了承いただける方のみ下記リンクよりデモを体験してください。

2010年6月18日追記:
くどいようですが、デモをクリックするとアンチウイルスから警告が出る場合があります。
例えば、MSEでは「Exploit:Win32/CVE-2010-1885.A」と検出されます。

デモはこちら

ちなみにIE6でデモにアクセスした場合には以下のように
ヘルプとサポートセンターが起動し、その後は実行されませんでした。




Posted 2010年6月15日 by ntsuji in category "exploit