5月 22

WinRARの自己解凍ウインドウに表示するテキストのXSS

圧縮・解凍ユーティリティ「WinRAR」のすべてのバージョンにXSSがあるとのことなので試してみました。

試した環境は
Windows 8.1上にインストールした
日本語版の最新版である[5.01]
英語版の最新版である[5.21]
です。

以下は再現の手順です。
(日本語版、英語版の併記をしています。)

1. 適当なファイルを右クリックして[書庫に圧縮][Add to archive]を選択。
1

2. 開いたウインドウで[自己解凍書庫を作成][Create SFX archive]にチェック
2

3. [高度][Advanced]タブを開き[自己解凍オプション][SFX options]をクリック
3

4. [テキストとアイコン][Text and icon]タブを開き
[自己解凍ウインドウに表示するテキスト][Text to display in SFX windows]内に任意のXSS文字列を記入。
4

これで出来上がったファイルを開いたタイミングでスクリプトを実行させることができました。

以下は開いた結果です。

・ <script&gtalert(‘hello!!!’);</script>の場合
5

・ <script>document.location.href=”http://n.pentest.ninja/”</script>の場合
6

Category: exploit | WinRARの自己解凍ウインドウに表示するテキストのXSS はコメントを受け付けていません
12月 26

ドメインに対する永続的な管理者権限での侵入の検証レポート

【概要】
WindowsのKerberos認証の脆弱性により、権限昇格が行える脆弱性(CVE-2014-6324)に関する検証レポート」で紹介した、MS14-068の修正プログラムにより修正される脆弱性は、ドメインに参加が許可されているユーザーがドメインの管理者権限を奪取することが可能な問題です。この脆弱性を利用した後の攻撃者による更なるシナリオとしては、

  • ドメインユーザー名とそのパスワードハッシュのリストを取得する
  • バックドア用のユーザーを作成する
  • マルウェアをインストールする
  • 侵入範囲を拡大するための情報(ホスト名、IPアドレス)を収集する
  • 侵入範囲を拡大する

などといった行動が考えられます。
他には、永続的な侵入を可能にするためにKerberosチケットの有効期限を変更するというものも挙げられます。

以下の図はチケットの有効期限を10年間に変更したものです。チケットの有効期限内であれば、チケットのユーザーのパスワードを変更したとしても、攻撃者はログオンすることが可能となります。すなわち、チケットの有効期限を変更することで攻撃者は永続的な攻撃が可能となります。
下図はチケットの有効期限を10年に変更したものの確認結果です。
P11_golden

このような状態のチケットは「Golden Ticket」と呼ばれています。
Golden Ticketは、任意のユーザー、または、任意の有効期限が設定された状態のチケットです。Windowsのドメインコントローラーはデフォルトで10時間のチケット有効期限が設定されていますが、Golden Ticketを利用することにより、この制限を回避してドメインのリソースへアクセスし続けることが可能となります。

また、以下の図は、Golden Ticketを利用してドメインコントローラーへアクセスした後、バックドア用のユーザー「golden」を作成し、ユーザー「golden」を「Domain Admins」権限へ追加するまでを示しています。

P11_golden2
このように攻撃者が任意のユーザ名、パスワードを設定した管理者ユーザアカウントを追加し、本来の管理者に気付かれぬよう永続的な侵入を行うといった攻撃が行われることもあります。

このGoldenチケットによるリソースへのアクセスを防ぐためには、krbtgtアカウントのパスワードを二回変更する必要があります。ただし、krbtgtアカウントのパスワードを変更することにより、現在ログオン中のセッション全てに影響を及ぼす可能性があるため、実行する際には運用中のシステムに影響を及ぼさないことを検証環境にて十分に確認を行ってから実施することを推奨します。

MS14-068の修正プログラムにより修正される脆弱性と併せて対策を実施する場合、

  1. MS14-068の修正プログラムを適用する
  2. krbtgtアカウントのパスワードを二回変更する

というステップを踏んでいただくことが挙げられます。

reported by y.izumita, ntsuji

 

Category: exploit, memo | ドメインに対する永続的な管理者権限での侵入の検証レポート はコメントを受け付けていません
12月 10

WindowsのKerberos認証の脆弱性により、権限昇格が行える脆弱性(CVE-2014-6324, MS14-068)に関する検証レポート

【概要】
Microsoft WindowsのKerberos認証に、リモートから任意のドメインアカウントへ権限昇格を行える脆弱性(CVE-2014-6324)が発見されました。この脆弱性は、Kerberos認証のチケットの署名に対する検証処理に問題があるため、署名に細工をすることによりドメインの特権ユーザーへ昇格することが可能です。

攻撃者がこの脆弱性を利用するためには、ドメインへの有効なログオン情報が必要になります。攻撃者が何らかの方法でドメインユーザーのログオン情報を奪取できた場合、この脆弱性を利用することによりドメインの管理者権限を奪取される可能性があります。その結果、管理者権限でシステムを操作し、重要情報の改ざん、窃取されてしまうといった危険性があります。

本レポート作成(2014年12月10日)時点において、既にMicrosoft社より2014年11月19日に脆弱性の修正プログラムがリリースされております。しかしながら、攻撃を成立させるためのコードが容易に入手可能であり、かつ攻撃を受けた際にシステムへの影響が大きいことから、今回、このKerberos認証の脆弱性(CVE-2014-6324)の再現性について検証を行いました。

 

【影響を受ける可能性があるシステム】
– Windows Server 2003 Service Pack 2
– Windows Server 2003 x64 Edition Service Pack 2
– Windows Server 2003 with SP2 for Itanium-based Systems
– Windows Vista Service Pack 2
– Windows Vista x64 Edition Service Pack 2
– Windows Server 2008 for 32-bit Systems Service Pack 2(Server Coreインストールを含む)
– Windows Server 2008 for x64-based Systems Service Pack 2(Server Coreインストールを含む)
– Windows Server 2008 for Itanium-based Systems Service Pack 2
– Windows 7 for 32-bit Systems Service Pack 1
– Windows 7 for x64-based Systems Service Pack 1
– Windows Server 2008 R2 for x64-based Systems Service Pack 1(Server Coreインストールを含む)
– Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
– Windows 8 for 32-bit Systems
– Windows 8 for x64-based Systems
– Windows 8.1 for 32-bit Systems
– Windows 8.1 for x64-based Systems
– Windows Server 2012(Server Coreインストールを含む)
– Windows Server 2012 R2(Server Coreインストールを含む)

 

【対策案】
Microsoft社より、この脆弱性を修正するプログラム(MS14-068)がリリースされています。
当該脆弱性が修正された修正プログラムを適用していただくことを推奨いたします。

 

【参考サイト】
CVE-2014-6324

マイクロソフト セキュリティ情報 MS14-068 – 緊急 Kerberos の脆弱性により特権が昇格される (3011780)

Additional information about CVE-2014-6324

 

【検証イメージ】
P09_post

 

【検証ターゲットシステム】
Windows Server 2008 R2 SP1

 

【検証概要】
ドメインに所属するクライアントへローカルの一般ユーザーでログオンした後、検証用のドメインユーザー(Domain Usersグループのアカウント)のKerberosチケットを取得します。このチケットに細工、利用しターゲットへアクセスすることで、ターゲット上にて特権で任意の操作が実行可能になるというものです。

 

【検証結果】
図①は、今回の検証においてターゲットシステムのコンソール画面で、ログオンしているドメインユーザーの権限を表示しています。このユーザーのチケットを取得します。

[図①]
P09_checkdomain

図②は、ドメインに所属するクライアントのコンソール画面で、ログオンセッションのチケットの情報と、ログオンしているユーザーの権限を表示しています。クライアント上での操作はこのユーザーで実行しています。

[図②]
P09_checkclient

ターゲットシステムでは「dctest」ユーザーを表示しており、「Domain Users」に所属しています。クライアントでは「test」ユーザーを表示しており、ローカル(evl7)の「Users」に所属しています。

以下より検証結果を記載します。以下の図③から図⑥はMS14-068の修正プログラムを適用する前、一方で図⑦は修正プログラムを適用した後の検証結果です。

■MS14-068適用前■
図③はドメインに所属するクライアント(Windows 7)のターミナル画面です。攻撃コードを含むスクリプトを実行することにより、ドメイン「2008R2AD.testdomain」のユーザー「dctest」のKerberosチケットに対して、ドメインの特権を付与する細工を行います。

[図③]
P09_prepatch1

図④は、③のチケットを現在のセッションに取り込みを行ったところです。この際、このチケットのユーザー名は「dctest」であることが分かります。

[図④]
P09_prepatch2

図⑤は、現在のセッションのチケットの情報を表示しています。このチケットを用いてターゲット(Windows Server 2008 R2)に対してnet useによる接続を試みたところです。Domain Users権限ではアクセスできないリソースである「\\<ターゲット>\c$」を、認証なしでzドライブとしてマウントできました。

[図⑤]
P09_prepatch3

図⑥は、チケットを使いターゲットのシェルを取得したところです。取得したシェルの実行権限を確認したところ、Domain Users権限のみ与えられているはずの「dctest」ユーザーに、「Domain Admins」や「Administrators」などの権限が付与されています。このことから、この脆弱性を持つドメインコントローラーは、細工されたチケットを検証できていないことが確認できます。

[図⑥]
P09_prepatch4

なお、WindowsのKerberos認証では、TGTチケットにはデフォルトで10時間の有効期限が設定されています。
この期限内では、TGTチケットを取得されたユーザーのパスワードを変更しても、攻撃者はログオンすることが可能です。

■MS14-068適用後■
図③から図④までと同じ手順で進めた後、図⑦では、現在のセッションにチケットがキャッシュされていることを確認しています。

次に、修正プログラム適用前の検証と同様にチケットを用いてターゲット(Windows Server 2008 R2)に対してnet useによる接続を試みていますが、MS14-068を適用した後は適用前と挙動が異なり、ドメインのリソースへのアクセスに認証が求められるようになります。脆弱性を修正するプログラム適用後は、細工されたチケットを用いてドメインのリソースにアクセスできなくなっていることが分かります。この脆弱性の修正プログラム(MS14-068)を適用していただくことにより、ドメインコントローラーはチケットを検証するようになったことが確認されました。

[図⑦]
P09_patched

■イベントログへの記録■
MS14-068を未適用の場合で特権の昇格の攻撃が成功した場合、WindowsのシステムログID4672を確認することにより、不審な挙動を検出することが出来ます。脆弱性を利用したリクエストが行われた場合、ログオンユーザーに対して特権が与えられるログが記録されます。以下の例ではDomain Users権限である「dctest」に対して特権が与えられていることが確認できます。

P09_log_ID4672

このログを取得するためには、グループポリシーの管理から使用しているポリシーを選択し、以下の設定を行います。

キー コンピューターの構成\ポリシー\Windowsの設定\セキュリティの設定\監査ポリシーの詳細な構成\監査ポリシー\特権の使用\
サブカテゴリ 重要な特権の使用の監査

 

MS14-068を適用済みの場合、WindowsのシステムログID4769を確認することにより、細工されたチケットを用いた特権のリクエストを検出することが出来ます。以下の例ではdctestユーザーとしての特権のリクエストを却下したことが確認できます。

P09_log_ID4769

このログを取得するためには、グループポリシーの管理から使用しているポリシーを選択し、以下の設定を行います。

キー コンピューターの構成\ポリシー\Windowsの設定\セキュリティの設定\監査ポリシーの詳細な構成\監査ポリシー\アカウントログオン
サブカテゴリ Kerberosサービスチケット操作の監査

 

【変更履歴】
(12/11) 修正プログラム適用前と適用後の比較に変更しました。
(12/14) 検証イメージを修正しました。
(12/15) 検証結果の内容を追記しました。
(12/17) イベントログへの記録を追記しました。

reported by y.izumita, ntsuji

 

Category: exploit | WindowsのKerberos認証の脆弱性により、権限昇格が行える脆弱性(CVE-2014-6324, MS14-068)に関する検証レポート はコメントを受け付けていません
11月 28

Linuxカーネルの脆弱性により、権限昇格が行える脆弱性(CVE-2014-3153)に関する検証レポート

【概要】
Linuxカーネルに、システムにログイン可能な一般ユーザーが権限昇格を行える脆弱性(CVE-2014-3153)の攻撃方法が発見されました。この脆弱性は過去にAndroidのroot化を行う目的で利用されていた実績のある脆弱性です。
この脆弱性はkernelのfutexサブシステムの処理に不備が存在しており、悪意のあるローカルユーザーが細工したfutexシステムコールを送信することでリング0の制御を奪取することが可能です。

【※上記説明文章の参考ページ】

Linux kernel futex local privilege escalation

Debian セキュリティ勧告

本レポート作成(2014年11月27日)時点において、The Linux Kernel Archiveより2014年6月7日に脆弱性を修正するバージョンのカーネルがリリースされていることが確認できております。しかしながら、攻撃を成立させるためのコードが容易に入手可能であり、かつ脆弱性に対する攻撃が容易であること、また攻撃を受けた際にシステムへの影響が大きいことから、今回、この脆弱性(CVE-2014-3153)の再現性について検証を行いました。

 

【影響を受ける可能性があるシステム】
– Linux Kernel 3.14.5よりも以前のバージョン

現在利用されているシステムのカーネルバージョンは、以下のコマンドを実行することにより確認が可能です。

uname -r

P08_kernelver02

 

【対策案】
この脆弱性を修正するバージョンのカーネル(3.14.6)がリリースされています。
またRedhat Enterprise Linuxの場合、6系ならばkernel-2.6.32-431.20.3.el6以降のパッケージで、7系ならばkernel-3.10.0-123.4.2.el7以降のパッケージでこの問題が修正されています。
当該脆弱性が修正されたカーネルにアップデートしていただくことを推奨いたします。

なお、この脆弱性を利用するためには、システムにログインできることが前提です。そのため、運用上カーネルのアップデートを実施できない場合は、システムに登録されているユーザーのパスワードを強固にしていただくこと、またシステムへのアクセス可能な経路を必要最低限に制限していただくことにより、攻撃を受ける可能性を低減することが可能です。
しかしながら、正規のユーザーによりこの脆弱性を利用された場合は、上記の対策は回避策とはなりません。よって、根本的に問題を解決していただくため、カーネルのバージョンアップを実施していただくことが推奨されます。

 

【参考サイト】
CVE-2014-3153

JVNDB-2014-002785 Linux Kernel の kernel/futex.c の futex_requeue 関数における権限を取得される脆弱性

Kernel ChangeLog-3.14.6

 

【検証イメージ】
P08_post

 

【検証ターゲットシステム】
CentOS 7.0.1406

 

【検証概要】
脆弱性の存在するターゲットに一般ユーザーでログイン後、攻撃者が作成した細工されたコードを実行することにより権限昇格を行い、結果root権限を奪取するというものです。
これにより、ターゲットで全権の操作が可能となります。

 

【検証結果】
下図は、ターゲットシステム(CentOS)の画面です。黄線で囲まれている部分は、細工されたコードを実行する前のカーネル情報および一般ユーザーを示すID情報が表示されています。一方、赤線で囲まれている部分は、細工されたコードを実行した後の画面で、rootユーザーのID情報が表示されています。
これにより、ターゲットシステムで権限昇格を行うことに成功しました。

P08_cve-2014-3153_cut

reported by y.izumita, ntsuji

 

Category: exploit | Linuxカーネルの脆弱性により、権限昇格が行える脆弱性(CVE-2014-3153)に関する検証レポート はコメントを受け付けていません
11月 17

Windows OLEの脆弱性によりリモートより任意のコードが実行される脆弱性(MS14-064)(CVE-2014-6332, CVE-2014-6352 )に関する調査レポート



【概要】
Windows OLE*に複数の脆弱性があるため、リモートより任意のコードが実行される脆弱性が発見されました。

*OLE(Object Linking and Embedding):
複数のデータや機能が含まれた複合データを、一つのアプリケーションで編集を可能とするテクノロジです。例えば、これによりWordに埋め込まれたExcelスプレッドシートをExcelを起動せずに、Word上で編集することが可能となります。

上記の脆弱性により、2種類の脆弱性(CVE-2014-6332とCVE2014-6352)が公開されています。

・CVE-2014-6332について
Windows OLEのOleAut32.dllライブラリがSAFEARRAY オブジェクトのサイズのエラーを検証する際の処理に不具合があるため、Internet Explorer Enhanced Protected Mode (EPM) サンドボックスや Enhanced Mitigation Experience Toolkit (EMET) をバイパスすることが可能です。このため、攻撃者はVBScriptを使用して細工したWebページに、攻撃対象者を誘導することにより、攻撃対象者のInternet Explorerを実行している権限を奪うことが可能となります。

・CVE-2014-6352について
攻撃者は、細工したOLEオブジェクトを含むOfficeファイルを作成し、そのファイルが含まれるサイトに攻撃対象者を誘導しファイルを開かせたり、電子メールにファイルを添付して送信し攻撃対象者に開かせる等の行為により、攻撃対象者がファイルを開いた際の実行権限にて任意のコードを実行することが可能です。

今回、Microsoftが提供している更新プログラム(MS14-064)の修正対象となっている、二つの脆弱性(CVE-2014-6332とCVE-2014-6352)について検証を行いました。



【影響を受ける可能性があるシステム】
・CVE-2014-6332
 - Windows Server 2003 Service Pack 2
 - Windows Server 2003 x 64 Edition Service Pack 2
 - Windows Server 2003 with SP2 for Itanium-based Systems
 - Windows Vista Service Pack 2
 - Windows Vista x64 Edition Service Pack 2
 - Windows Server 2008 for 32-bit Systems Service Pack 2
 - Windows Server 2008 for x64-based Systems Service Pack 2
 - Windows Server 2008 for Itanium-based Systems Service Pack 2
 - Windows 7 for 32-bit Systems Service Pack 1
 - Windows 7 for x64-based Systems Service Pack 1
 - Windows Server 2008 R2 for x64-based Systems Service Pack 1
 - Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
 - Windows 8 for 32-bit Systems
 - Windows 8 for x64-based Systems
 - Windows 8.1 for 32-bit Systems
 - Windows 8.1 for x64-based Systems
 - Windows Server 2012
 - Windows Server 2012 R2
 - Windows RT
 - Windows RT 8.1
 - Windows Server 2008 for 32-bit Systems Service Pack 2(Server Core インストール)
 - Windows Server 2008 for x64-based Systems Service Pack 2(Server Core インストール)
 - Windows Server 2008 R2 for x64-based Systems Service Pack 1(Server Core インストール)
 - Windows Server 2012(Server Core インストール)
 - Windows Server 2012 R2(Server Core インストール)

・CVE-2014-6352
 - Windows Vista Service Pack 2
 - Windows Vista x64 Edition Service Pack 2
 - Windows Server 2008 for 32-bit Systems Service Pack 2
 - Windows Server 2008 for x64-based Systems Service Pack 2
 - Windows Server 2008 for Itanium-based Systems Service Pack 2
 - Windows 7 for 32-bit Systems Service Pack 1
 - Windows 7 for x64-based Systems Service Pack 1
 - Windows Server 2008 R2 for x64-based Systems Service Pack 1
 - Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
 - Windows 8 for 32-bit Systems
 - Windows 8 for x64-based Systems
 - Windows 8.1 for 32-bit Systems
 - Windows 8.1 for x64-based Systems
 - Windows Server 2012
 - Windows Server 2012 R2
 - Windows RT
 - Windows RT 8.1

【対策案】
Microsoft社より、この脆弱性を修正する更新プログラム(MS14-064)がリリースされています。
当該脆弱性を修正する更新プログラムを適用していただくことを推奨いたします。

CVE-2014-6332の脆弱性については、回避策は確認されておりません。上記の更新プログラム(MS14-064)の適用を推奨します。

CVE-2014-6352の脆弱性については、更新プログラムを適用しない場合の回避策として、以下の方法が提案されています。
・Fix it を導入する
・ユーザアカウント制御(UAC)を有効にする
・EMET5.0のAttack Surface Reduction 機能を使用する

【参考サイト】
 - Windows OLE の脆弱性により、リモートでコードが実行される (3011443)

・CVE-2014-6332
 - JVNVU#96617862 Microsoft Windows OLE ライブラリに任意のコード実行が可能な脆弱性
 - 複数の Microsoft 製品の OLE における任意のコードを実行される脆弱性
 - CVE-2014-6332

・CVE-2014-6352
 - マイクロソフト セキュリティ アドバイザリ 3010060 Microsoft OLE の脆弱性により、リモートでコードが実行される
 - 2014年10月 Microsoft OLE の未修正の脆弱性に関する注意喚起
 - 更新:Microsoft Windows の脆弱性対策について(CVE-2014-6352)
 - CVE-2014-6352

【検証概要】(CVE-2014-6332)
脆弱性の存在するターゲットPCより、攻撃者が作成した細工された応答を返すサーバにアクセスすることで脆弱性を利用した攻撃を行い、攻撃者が用意した制御の誘導先のホストの指定ポートにコネクトバックさせ、結果、シェルを奪取するというものです。これにより、リモートからターゲットPCの操作が可能となります。

【検証ターゲットシステム】(CVE-2014-6332)
Windows 7 Enterprise SP1 日本語版
Internet Explorer10 日本語版

【検証イメージ】(CVE-2014-6332)
CVE2014-6332_kensho








【検証結果】(CVE-2014-6332)
攻撃者が用意したWebサイトに、攻撃ターゲットPCからInterneExplorer使い、アクセスします。
下図の様に、Internet Explorer セキュリティのダイアログが表示されますが「許可する」ボタンを押すと、脆弱性コードが攻撃ターゲットPCにて実行されます。

CVE2014-6331_kekka01











下図は、攻撃後の誘導先のコンピュータ(Ubuntu)の画面です。黄線で囲まれている部分は、誘導先のコンピュータのホスト情報です。一方、赤線で囲まれている部分は、ターゲットPC(Windows 7)において、コマンドを実行した結果が表示されています。これにより、ターゲットPCの制御を奪うことに成功しました。

CVE2014-6331_kekka03















【検証概要】(CVE-2014-6352)
脆弱性が存在するシステムに添付ファイル付き電子メールを送信する等をして、細工を施したPowePointファイルをターゲットPCにて開きます。ターゲットPCは意図せず、攻撃者が用意した制御の誘導先ホストの指定ポートにコネクトバックするマルウェアをインストール・実行し、リモートからターゲットPCの制御が可能となります。

【検証ターゲットシステム】(CVE-2014-6352)
Windows 7 Enterprise SP1 日本語版
Office Professional Plus 2013 日本語版

【検証イメージ】(CVE-2014-6352)

CVE2014-6352_image01










【検証結果】(CVE-2014-6352)
下図は、ターゲットPC(Windows7)にて、細工したOLEオブジェクトを含むOfficeファイル(PowerPoint)ファイルを、ターゲットPC(Windows7)にて開いた時に出るダイアログです。Officeファイル(PowerPoint)ファイルを開くと、マルウェア(mal-CVE2014-6352.exe)の挙動を検知し、ユーザーアカウント制御のダイアログが表示されますが、「はい」を選択し、実行を許可すると、あらかじめ設定された任意のサーバのポートにコネクトバックします。

CVE2014-6352_kekka01










11/17追記:ターゲットPCにPythonがインストールされている場合は、この制限も回避が可能であることを確認しております。
(今回の検証対象の、Windows 7 Enterprise SP1 日本語版 , Office Professional Plus 2013 日本語版 にて確認済)

下図は、攻撃後の誘導先のコンピュータ(Linux)のターミナルの画面です。
赤線で囲まれている部分は、誘導先のコンピュータのホスト情報です。一方、黄線で囲まれている部分は、ターゲットPC(Windows7)において、コマンドを実行した結果が表示されています。これにより、ターゲットPC(Windows7)の制御を奪うことに成功しました。

CVE2014-6352_kekka02















Category: exploit | Windows OLEの脆弱性によりリモートより任意のコードが実行される脆弱性(MS14-064)(CVE-2014-6332, CVE-2014-6352 )に関する調査レポート はコメントを受け付けていません
10月 30

GNU Wgetの再帰的なダウンロード時の不具合により、任意のローカルファイルが操作される脆弱性(CVE-2014-4877)に関する検証レポート

【概要】
リモートのファイル取得を行うツールGNU Wget(以下、Wget)に、任意のファイルの作成や上書きなどの操作が実行される脆弱性(CVE-2014-4877)が発見されました。これは、Wgetが再帰的にファイルをダウンロードした際の、シンボリックリンクファイルの処理に不具合が存在するためです。

これにより、攻撃者は細工したシンボリックリンクファイルをターゲットPCにダウンロードさせることにより、任意のファイルの作成や上書きが実行可能となります。
今回、Wgetの再帰的にダウンロードする機能の不具合により、任意のファイルの作成や上書きが実行される脆弱性(CVE-2014-4877)の再現性について検証を行いました。

【影響を受ける可能性があるシステム】
– GNU Wget 1.16未満のバージョン

【対策案】
GNU Wget プロジェクトよりこの脆弱性を修正するプログラムがリリースされています。当該脆弱性への対応を含む最新バージョンへとバージョンアップしていただくことを推奨します。
回避策としては、ローカル側にシンボリックリンクを作成しない設定項目であるretr_symlinksオプションを有効にするという方法があります。

【参考サイト】
GNU Wget – ニュース: GNU wget 1.16 released [Savannah]
CVE-2014-4877
JVNVU#98581917: GNU Wget にシンボリックリンクの扱いに関する問題

【検証概要】
ターゲットPCより管理者権限にて脆弱性の存在するWgetコマンドを実行し、攻撃者が設置したFTPサーバへ接続します。攻撃者が細工したファイルがWgetを実行した権限にて、任意の場所にダウンロードされます。
今回の検証では、攻撃者側サーバの任意のポートにコネクトバックさせる様に細工したファイルを用意しました。ターゲットPCがこれをWgetコマンドにてダウンロードした結果、管理者権限のシェルを奪取できました。これによりリモートからターゲットPCのシステムの完全なアクセスが可能となります。

【検証ターゲットシステム】
Ubuntu Linux 14.04 LTS
Wget 1.15

【検証イメージ】
wget-gai01

 
 

 
 
 

【検証結果】
下図は、ターゲットPCから、攻撃者が設置したFTPサーバへアクセスしている画面です。
赤線の部分でファイルのダウンロードを実行しています。
wget_download02

 
 
 

 
 

下図は、攻撃後の誘導先のコンピュータ(Kali Linux)の画面です。黄線で囲まれている部分は、誘導先のコンピュータのホスト情報です。一方、赤線で囲まれている部分は、ターゲットPC(Ubuntu Linux)において、コマンドを実行した結果が表示されています。これにより、ターゲットPCの制御を奪うことに成功しました。

shell_get002

 
 

 
 
 
 
 
 

 
reported by nao323, ntsuji

Category: exploit | GNU Wgetの再帰的なダウンロード時の不具合により、任意のローカルファイルが操作される脆弱性(CVE-2014-4877)に関する検証レポート はコメントを受け付けていません
10月 22

Microsoft Windows のOLEオブジェクトが含まれるOfficeファイルの不具合により、リモートより任意のコードが実行される脆弱性(CVE-2014-4114)に関する検証レポート

【概要】
Microsoft Windowsに、OLEオブジェクト*が含まれるOfficeファイル(以下、OLEファイル)を開いた際に、リモートより任意のコードが実行される脆弱性(CVE-2014-4114)が発見されました。

*OLE(Object Linking and Embedding):
複数のデータや機能が含まれた複合データを、一つのアプリケーションで編集を可能とするテクノロジです。例えば、これによりWordに埋め込まれたExcelスプレッドシートをExcelを起動せずに、Word上で編集することが可能となります。

OLEは通常、内部に保存されているコンテンツを埋め込むために使用されるテクノロジですが、この脆弱性を利用し、細工したOLEファイルを攻撃対象に開かせることにより、外部に存在するファイルをダウンロードしてインストールさせ、そのファイルを開いたときのユーザー権限にて任意のコードが実行可能です。ファイルを開いたユーザが管理者権限であれば、システムの完全な掌握が可能となります。
攻撃者は、細工したOLEファイルが含まれるWebサイトに、攻撃対象ユーザーを誘導し、そのファイルを開かせたり、細工したOLEファイルを添付した電子メールを送信し、攻撃対象ユーザーにファイルを開かせることにより、この脆弱性を利用した攻撃が可能となります。
現時点において、脆弱性の利用にはPowerPointファイル形式のものが報告されていますが、今後その脆弱性の性質から他のOfficeアプリケーション(WordやExcel等)ファイルが攻撃に利用される可能性があります。

実際の悪用シナリオや検体については、@piyokangoさんのブログがまとめてくださっておりますので参照いただくことを推奨いたします。

今回、Microsoft Windows のOLEオブジェクトが含まれるOfficeファイルの不具合により、リモートより任意のコードが実行される脆弱性(CVE-2014-4114)の再現性について検証を行いました。

【影響を受ける可能性があるシステム】
-Windows Vista Service Pack 2
-Windows Vista x64 Edition Service Pack 2
-Windows Server 2008 for 32-bit Systems Service Pack2
-Windows Server 2008 for x64-based Systems ServicePack 2
-Windows Server 2008 for Itanium-based Systems Service Pack 2
-Windows 7 for 32-bit Systems Service Pack 1
-Windows 7 for x64-based Systems Service Pack 1
-Windows Server 2008 R2 for x64-based Systems Service Pack 1
-Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
-Windows 8 for 32-bit Systems
-Windows 8 for x64-based Systems
-Windows 8.1 for 32-bit Systems
-Windows 8.1 for x64-based Systems
-Windows Server 2012
-Windows Server 2012 R2
-Windows RT
-Windows RT 8.1

【対策案】
Microsoft社より、この脆弱性を修正する更新プログラム(MS14-060)がリリースされています。
当該脆弱性を修正する更新プログラムを適用していただくことを推奨いたします。
また、更新プログラムを適用しない場合の回避策として、以下の方法が提案されています。
・WebClientサービスを無効化する
・TCP 139/445ポートを遮断する
・セットアップ情報ファイル(.inf)経由での実行ファイルの起動機能の停止

【参考サイト】
マイクロソフト セキュリティ情報 MS14-060 – 重要
CVE-2014-4114
Windows のゼロデイ脆弱性を悪用した Sandworm による標的型攻撃 | Symantec Connect
iSIGHT discovers zero-day vulnerability CVE-2014-4114 used in Russian cyber-espionage campaign – iSIGHT Partners (英文)

【検証イメージ】
OLE_image2

 
 
 
 
 
 
 
 

 
 
 

【検証ターゲットシステム】
Windows 7 Enterprise SP1 日本語版
Office Professional Plus 2013 日本語版

【検証概要】
脆弱性が存在するシステムに添付ファイル付き電子メールを送信する等をして、細工を施したPowePointファイルをターゲットPCにて開きます。ターゲットPCは意図せず、任意のサーバのポートにコネクトバックするマルウェアをインストール・実行し、リモートからターゲットPCの制御が可能となります。

【検証結果】
下図は、ターゲットPC(Windows7)のデスクトップ画面です。
細工したOLEオブジェクトを含むOfficeファイル(PowerPoint)ファイルを、ターゲットPC(Windows7)にて開きます。その際、ターゲットPC(Windows7)から参照可能なリモートのネットワーク上の共有フォルダに、xxx.gifとxxx.infを配置しておきます。Officeファイル(PowerPoint)ファイルを開くと、xxx.gif(画像ファイル)になりすましたマルウェア(xxx.exe)が実行され、あらかじめ設定された任意のサーバのポートにコネクトバックします。
desktop2

 
 
 

 
 
 

 
 
 

下図は、攻撃後の誘導先のコンピュータ(Linux)のターミナルの画面です。
赤線で囲まれている部分は、誘導先のコンピュータのホスト情報です。一方、黄線で囲まれている部分は、ターゲットPC(Windows7)において、コマンドを実行した結果が表示されています。
これにより、ターゲットPC(Windows7)の制御を奪うことに成功しました。
shell_get_cl

 
 
 

 
 
 

 
 
 

 
 

 
 
 

 
reported by nao323, ntsuji

Category: exploit | Microsoft Windows のOLEオブジェクトが含まれるOfficeファイルの不具合により、リモートより任意のコードが実行される脆弱性(CVE-2014-4114)に関する検証レポート はコメントを受け付けていません
9月 25

GNU Bashの環境変数処理の不備により任意のコードが実行される脆弱性(CVE-2014-6271,CVE-2014-7169)に関する検証レポート

【概要】
GNU Bash(以下、単にBash)にリモートより任意のコードが実行される脆弱性が発見されました。一連の脆弱性の愛称?は「Bashbug」または「Shellshock」のようです。

本脆弱性は、Bashの環境変数に関数を設定し同一の環境変数内に任意のコードを設定することで発生します。
攻撃者は、細工した環境変数を設定することにより、Bashを経由した環境で任意のコードが実行可能となります。

Bashを経由した環境での脆弱性の利用方法は、以下のような場合があります。
– ApacheなどWebサーバ上でCGIをBashから実行している場合にWebサーバの実行権限で任意のコードを実行
– DHCPサーバで環境変数に任意のコードを埋め込みDHCPクライアントに対してBashを経由して任意のコードを実行
– sshのForceCommand設定なでで使用可能なコマンドを制限している環境でログインユーザー権限で任意のコマンドを実行

このほかの例として、以下のURLでRedhat社の製品で影響を受ける環境の例が掲載されています。
Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271, CVE-2014-7169)

今回、この脆弱性(CVE-2014-6271,CVE-2014-7169)について検証を行いました。

【影響を受ける可能性があるシステム】
CVE-2014-7169
– Bash 4.3 Patch 25 およびそれ以前
– Bash 4.2 Patch 48 およびそれ以前
– Bash 4.1 Patch 12 およびそれ以前
– Bash 4.0 Patch 39 およびそれ以前
– Bash 3.2 Patch 52 およびそれ以前
– Bash 3.1 Patch 18 およびそれ以前
– Bash 3.0 Patch 17 およびそれ以前

CVE-2014-6271
– Bash 4.3 Patch 25 以前
– Bash 4.2 Patch 48 以前
– Bash 4.1 Patch 12 以前
– Bash 4.0 Patch 39 以前
– Bash 3.2 Patch 52 以前
– Bash 3.1 Patch 18 以前
– Bash 3.0 Patch 17 以前

なお、ディストリビュータごとに影響を受けるバージョンが異なります。詳細は各ディストリビュータの脆弱性情報を参照ください。また、LinuxなどのOSをベースとしたネットワーク機器を含めた専用機器においても関連する脆弱性情報が発表されています。使用されている各機器のセキュリティ情報を収集されることを推奨いたします。

すでに、CiscoやF5のような利用者が多いと考えられる機器について各ベンダーから情報が公開されています。
GNU Bash Environmental Variable Command Injection Vulnerability
SOL15629: GNU Bash vulnerabilities CVE-2014-6271 and CVE-2014-7169

【対策案】
CVE-2014-6271については以下のバージョンで修正されています。
– Bash 4.3 Patch 25
– Bash 4.2 Patch 48
– Bash 4.1 Patch 12
– Bash 4.0 Patch 39
– Bash 3.2 Patch 52
– Bash 3.1 Patch 18
– Bash 3.0 Patch 17

CVE-2014-7169については、本レポート作成時点(2014年9月26日)において修正されておりません。各ディストリビュータによって独自のパッチを提供しています。詳細は@piyokangoさんのブログがまとめてくださっておりますので参照いただくことを推奨いたします。

回避策については、【概要】で紹介したRedhat社のページのように
– mod_securityによる回避
– iptablesによる回避
などの方法が考えられます。

【参考サイト】
CVE-2014-6271
CVE-2014-7169
JPCERT/CC Alert 2014-09-25 GNU bash の脆弱性に関する注意喚起
bash の脆弱性対策について(CVE-2014-6271 等)
bashの脆弱性(CVE-2014-6271) #ShellShock の関連リンクをまとめてみた

【検証イメージ】
shellshock

【検証ターゲットシステム】
– Cent0S 7 + Apache 2.4.61 + GNU bash, バージョン 4.2.45(1)-release-(x86_64-redhat-linux-gnu)
– Ubuntu Server 14.04.1 LTS
– Bash 4.3-7ubuntu1
– Apache 2.4.7-1ubuntu4.1

【検証概要】
脆弱性の存在するターゲットシステムに、攻撃者が実行したいコードを含めたHTTPリクエストを送ります。ターゲットシステム上ではコードが実行され、攻撃者に応答を返します。
これにより、リモートからターゲットPCの操作が可能となります。

【検証結果】
下図は実際にCGIを経由してコードを実行した画面です。黄色で囲まれた部分はUser-Agentに実行コードを埋め込んていることを示しています。赤色で囲まれた部分は実行結果を示しています。これにより、ターゲット上で任意のコードを実行することに成功しました。
CVE-2014-6271

【2014/09/28 oda 追記】
なお、上記のUbuntu上で実行しているテスト用のCGIは「#!/bin/bash」としてbashを明示的にbashを呼び出して実行しています。Ubuntu上のCGIで「#!/bin/sh」としてshを呼び出している場合は、通常dashへlinkされているため本脆弱性の影響を受けません。

【2014/09/28 ntsuji 追記】
以下のようにhttp経由で細工を施したブラウザでアクセスすることでWebサーバの権限を奪取することに成功しました。
これによりリモートから特定の権限で任意のコマンドが実行可能な状態になったと言えます。
gotshell_http

また、細工したDHCPサーバを設置し、そのサーバにDHCPリクエストを行ってきたCentOSの制御を奪うことにも成功しました。奪取できる権限はDHCPリクエストを行った際の権限に依存します。
gotshell_dhcp_full_edited

reported by oda, ntsuji

Category: exploit | GNU Bashの環境変数処理の不備により任意のコードが実行される脆弱性(CVE-2014-6271,CVE-2014-7169)に関する検証レポート はコメントを受け付けていません
8月 14

WordPressのPHPのXML処理の不備によりサービス妨害(DoS)攻撃が実行される脆弱性に関する検証レポート

【概要】
WordPressに、リモートよりサービス妨害(DoS)攻撃が可能な脆弱性が発見されました。

この脆弱性は、WordPress内のPHPがXMLを処理する際の処理に不備が存在するため、リモートよりサービス妨害(DoS)攻撃を受ける問題が起こります。
これにより、攻撃者はリモートからサービス妨害(DoS)攻撃を行うことが可能になります。それにより、利用者がWebサービスに接続し難くすることが可能です。
今回、この脆弱性の再現性について検証を行いました。

【影響を受ける可能性があるシステム】
■WordPress
– WordPress 3.5から3.9.2未満のバージョン

【対策案】
WordPress.orgより、この脆弱性を修正するプログラムがリリースされています。
当該脆弱性の修正を含む最新のバージョンを適用していただくことを推奨いたします。
WordPress > 日本語

【参考サイト】
JPCERT コーディネーションセンター Weekly Report
WordPress › 日本語 « WordPress 3.9.2 セキュリティリリース
WordPress >WordPress › WordPress 3.9.2 Security Release

【検証イメージ】
image_140813_01

 

 

 

 
【検証ターゲットシステム】
Windows Server 2012 + XAMPP for Windows 1.8.3 / PHP 5.5.11 + WordPress 3.9.1日本語版

【検証概要】
攻撃者が作成した細工されたリクエストをサーバに送ることで脆弱性を利用した攻撃を行い、対象サービスを遅延させ、結果、通常の利用者からのアクセスを妨害するというものです。
これにより、サービス妨害(DoS)攻撃が可能となります。

【検証結果】
下図は、攻撃後の誘導先のコンピュータ(Windows Server 2012)のタスクマネージャです。黄線で囲まれている部分は、攻撃を実行する前のプロセスの状態です。
bf_attack

 

 

 

 

 
 

赤線で囲まれている部分が、リモートから攻撃者が、サービス妨害(DoS)攻撃をを実行した直後の状態が表示されています。
af_attack01

 

 

 

 

 

 
 

Webサービスの遅延が発生し、ページの参照が待機状態になりました。
af_attack02

※ 今回の検証にはWindows OSを使用していますが、Linuxなどの環境でも同様の現象を再現することが可能です。

 

 

 

 

 

 

 

 

 

reported by y.izumita, nao323, ntsuji

Category: exploit | WordPressのPHPのXML処理の不備によりサービス妨害(DoS)攻撃が実行される脆弱性に関する検証レポート はコメントを受け付けていません
5月 12

Flash Playerのバッファオーバーフローの脆弱性により、任意のコードが実行される脆弱性(CVE-2014-0515)に関する検証レポート

【概要】
アドビシステムズ社の Flash Playerに、リモートより任意のコードが実行される脆弱性(CVE-2014-0515)が発見されました。

この脆弱性は、Flashファイル内のコンパイルされたshaderを解析する際の処理に不備が存在するため、隣接するVectorオブジェクトを含むメモリバッファを上書きすることができるため、バッファオーバーフローの問題が起こります。
これにより、攻撃者はアプリケーションを異常終了させたり、任意のコードをメモリへ上書きし、実行させることが可能となります。
攻撃者は、細工されたWebサイトを利用者に訪問させることにより、リモートからブラウザを実行する利用者のユーザ権限で任意のコードを実行できる危険性があります。
また、攻撃対象者をブラウザ経由で細工されたWebサイトにユーザを誘導することや、細工されたWebサイトへのリンクを添付した電子メールを送信し、攻撃対象ユーザにファイルを開かせることで、ログオンしているユーザと同じ権限を、攻撃者に奪取される危険性があります。
既に、Webサイトを改ざんし細工した.swfファイルを設置して攻撃に利用するといった事例も報告されています。

今回、この脆弱性(CVE-2014-0515)の再現性について検証を行いました。

【影響を受ける可能性があるシステム】
■Windows版
– Adobe Flash Player 13.0.0.182 およびそれ以前のバージョン
■Macintosh版
– Adobe Flash Player 13.0.0.201 およびそれ以前のバージョン
■Linux版
– Adobe Flash Player 11.2.202.350 およびそれ以前のバージョン

【対策案】
アドビシステムズ社より、この脆弱性を修正するプログラムがリリースされています。
当該脆弱性の修正を含む最新のバージョンを適用していただくことを推奨いたします。

以下のサイトにて、現在使用しているFlash Playerのバージョンが確認できます。(現時点での最新リリースバージョンの確認もできます)
Flash Player の状況確認

Flash Player本体のダウンロードは以下のサイトになります。
FlashPlayerのダウンロード

*GoogleChromeの場合は、Flash Playerの機能がブラウザに統合されているため、Chrome自体のアップデートを行う必要があります。
Google Chromeを更新する

*Windows 8、Windows Server 2012、Windows RT、Windows 8.1、Windows Server 2012 R2 および Windows RT 8.1 上の Internet Explorer 10または、11の場合は、Flash Playerの機能がブラウザに統合されているため、InternetExplorer自体のアップデートを行う必要があります。
マイクロソフト セキュリティ アドバイザリ (2755801)

*尚、一つのシステム上で複数のブラウザを使用し、それぞれFlash Playerをインストールしている場合、ブラウザ毎にFlash Playerのバージョンを確認・対策する必要があります。

【参考サイト】
CVE-2014-0515
NVD Detail
Adobe Flash Player の脆弱性対策について(APSB14-13)(CVE-2014-0515):IPA 独立行政法人 情報処理推進機構
JVNDB-2014-002276 – JVN iPedia – 脆弱性対策情報データベース
Adobeセキュリティ情報

【検証イメージ】
web_flash

【検証ターゲットシステム】
Windows 7 SP1日本語版 + Internet Explorer 10 + Flash Player 13.0.0.182

【検証概要】
脆弱性の存在するターゲットPCより、攻撃者が作成した細工された応答を返すサーバにアクセスすることで脆弱性を利用した攻撃を行い、任意のサーバの任意のポートにコネクトバックさせ、結果、シェルを奪取するというものです。
これにより、リモートからターゲットPCの操作が可能となります。

【検証結果】
下図は、攻撃後の誘導先のコンピュータ(MacOS X)の画面です。黄線で囲まれている部分は、誘導先のコンピュータのホスト情報です。一方、赤線で囲まれている部分は、ターゲットPC(Windows 7)において、コマンドを実行した結果が表示されています。
これにより、ターゲットPCの制御を奪うことに成功しました。
CVE2014-0515-02

reported by nao323, ntsuji

Category: exploit | Flash Playerのバッファオーバーフローの脆弱性により、任意のコードが実行される脆弱性(CVE-2014-0515)に関する検証レポート はコメントを受け付けていません