5月 8

Flash Playerの整数アンダーフローの脆弱性により、任意のコードが実行される脆弱性(CVE-2014-0497)に関する検証レポート

【概要】
アドビシステムズ社の Flash Playerに、リモートより任意のコードが実行される脆弱性(CVE-2014-0497)が発見されました。この脆弱性は、細工された.swfファイルの処理に不備が存在するため、整数アンダーフローの問題が発生することにより起こります。これにより、攻撃者はアプリケーションを異常終了させたり、任意のコードをメモリへ上書きし、実行させることが可能となります。

攻撃者は、細工されたWebサイトを利用者に訪問させることにより、リモートからブラウザを実行する利用者のユーザ権限で任意のコードを実行できる危険性があります。
また、攻撃対象者をブラウザ経由で細工されたWebサイトにユーザを誘導することや、細工されたWebサイトへのリンクを添付した電子メールを送信し、攻撃対象ユーザにファイルを開かせることで、ログオンしているユーザと同じ権限を、攻撃者に奪取される危険性があります。
過去、細工した.swfファイルを埋め込んだMicrosoft Wordファイル(.docxファイル)を送信するといった標的型攻撃も報告されています。

今回、この脆弱性(CVE-2014-0497)の再現性について検証を行いました。

【影響を受ける可能性があるシステム】
■Windows版およびMacintosh版
– Adobe Flash Player 12.0.0.43 およびそれ以前のバージョン
– Adobe Flash Player 11.7.700.260 およびそれ以前のバージョン

■Linux版
– Adobe Flash Player 11.2.202.335 およびそれ以前のバージョン

【対策案】
アドビシステムズ社より、この脆弱性を修正するプログラムがリリースされています。
当該脆弱性の修正を含む最新のバージョンを適用していただくことを推奨いたします。

以下のサイトにて、現在使用しているFlash Playerのバージョンが確認できます。(現時点での最新リリースバージョンの確認もできます)
Flash Player の状況確認

Flash Player本体のダウンロードは以下のサイトになります。
FlashPlayerのダウンロード

*GoogleChromeの場合は、Flash Playerの機能がブラウザに統合されているため、Chrome自体のアップデートを行う必要があります。
Google Chromeを更新する

*Windows 8、Windows Server 2012、Windows RT、Windows 8.1、Windows Server 2012 R2 および Windows RT 8.1 上の Internet Explorer 10または、11の場合は、Flash Playerの機能がブラウザに統合されているため、InternetExplorer自体のアップデートを行う必要があります。
マイクロソフト セキュリティ アドバイザリ (2755801)

*一つのシステム上で複数のブラウザを使用し、それぞれFlash Playerをインストールしている場合、ブラウザ毎にFlash Playerのバージョンを確認・対策する必要があります。

【参考サイト】
CVE-2014-0497
NVD – Detail
Adobe Flash Player の脆弱性対策について(APSB14-04)(CVE-2014-0497):IPA 独立行政法人 情報処理推進機構
JVNDB-2014-001313 – JVN iPedia – 脆弱性対策情報データベース
Adobeセキュリティ情報

【検証イメージ】
kensho2

【検証ターゲットシステム】
Windows 7 SP1日本語版 + Internet Explorer 10 + Flash Player 11.7.700.202

【検証概要】
脆弱性の存在するターゲットPCより、攻撃者が作成した細工された応答を返すサーバにアクセスすることで脆弱性を利用した攻撃を行い、任意のサーバの任意のポートにコネクトバックさせ、結果、シェルを奪取するというものです。
これにより、リモートからターゲットPCの操作が可能となります。

【検証結果】
下図は、攻撃後の誘導先のコンピュータ(MacOS X)の画面です。黄線で囲まれている部分は、誘導先のコンピュータのホスト情報です。一方、赤線で囲まれている部分は、ターゲットPC(Windows 7)において、コマンドを実行した結果が表示されています。

これにより、ターゲットPCの制御を奪うことに成功しました。
kensho2

reported by nao323, ntsuji

Category: exploit | Flash Playerの整数アンダーフローの脆弱性により、任意のコードが実行される脆弱性(CVE-2014-0497)に関する検証レポート はコメントを受け付けていません。
5月 8

Windowsのカーネルモードドライバの脆弱性により、権限昇格が行える脆弱性(CVE-2013-1300)に関する検証レポート

【概要】
Microsoft Windowsのカーネルモードドライバ(win32k.sys)に、ローカルより権限昇格を行える脆弱性(CVE-2013-1300)を利用する攻撃コードが発見されました。
この脆弱性は、win32k.sysによるメモリ内のオブジェクトの処理において、エラーが存在することより発生します。これにより、システム上で権限昇格を行うことができ、さらにカーネルモードで任意のコードの実行が可能となります。

攻撃者がこの脆弱性を利用するためには、システムへの有効なログオン情報が必要になります。
攻撃者が何らかの方法でシステムの一般ユーザでのアクセス権を獲得した場合、この脆弱性を利用することで管理者権限を掌握することが可能となります。その結果、管理者権限でシステムを操作し、重要情報の改ざん、窃取されてしまうといった危険性があります

本レポート作成(2014年5月7日)時点において、Microsoft社より脆弱性の修正プログラム(MS13-053)がリリースされております。しかしながら、攻撃を成立させるためのコードが容易に入手可能であり、かつ脆弱性に対する攻撃が容易であること、また攻撃を受けた際にシステムへの影響が大きいことから、今回、このカーネルモードドライバの脆弱性(CVE-2013-1300)の再現性について検証を行いました。

【影響を受ける可能性があるシステム】
– Windows XP Service Pack 3
– Windows XP Professional x64 Edition Service Pack 2
– Windows Server 2003 Service Pack 2
– Windows Server 2003 x64 Edition Service Pack 2
– Windows Server 2003 with SP2 for Itanium-based Systems
– Windows Vista Service Pack 2
– Windows Vista x64 Edition Service Pack 2
– Windows Server 2008 for 32-bit Systems Service Pack 2(Server Coreインストールを含む)
– Windows Server 2008 for x64-based Systems Service Pack 2(Server Coreインストールを含む)
– Windows Server 2008 for Itanium-based Systems Service Pack 2
– Windows 7 for 32-bit Systems Service Pack 1
– Windows 7 for x64-based Systems Service Pack 1
– Windows Server 2008 R2 for x64-based Systems Service Pack 1(Server Coreインストールを含む)
– Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
– Windows 8 for 32-bit Systems
– Windows 8 for x64-based Systems
– Windows Server 2012(Server Coreインストールを含む)
– Windows RT

【対策案】
Microsoft社より、この脆弱性を修正するプログラム(MS13-053)がリリースされています。
当該脆弱性が修正された修正プログラムを適用していただくことを推奨いたします。

【参考サイト】
CVE-2013-1300
マイクロソフト セキュリティ情報 MS13-053 – 緊急
Windows カーネルモード ドライバーの脆弱性により、リモートでコードが実行される (2850851)

【検証イメージ】
P07_post

 【検証ターゲットシステム】
Windows 7 SP1

【検証概要】
攻撃者は、自らが作成したファイルを利用者に実行させます。これにより、利用者は意図せず攻撃者が用意したサーバに対して接続が行われます。その後、ターゲットPCに対して本脆弱性を利用した攻撃を行うことにより、利用者の権限よりも上位の権限に昇格するというものです。

【検証結果】
下図は、攻撃後の誘導先のコンピュータ(Linux)のターミナルの画面です。赤線で囲まれている部分は、ターゲットPC(Windows 7)から誘導先のコンピュータに対して接続が行われた際の画面です。ここでは、クライアントのユーザ権限で接続が行われています。一方、黄線で囲まれている部分は、脆弱性を利用した際の画面です。ここでは、system権限で接続が行われています。
これにより、権限昇格を行うことに成功しました。

P07_cve-2013-1300

reported by y.izumita, ntsuji

 

Category: exploit | Windowsのカーネルモードドライバの脆弱性により、権限昇格が行える脆弱性(CVE-2013-1300)に関する検証レポート はコメントを受け付けていません。
5月 1

Flash PlayerのType Confusionの脆弱性により、任意のコードが実行される脆弱性(CVE-2013-5331)に関する検証レポート

【概要】
アドビシステムズ社の Flash Playerに、リモートより任意のコードが実行される脆弱性(CVE-2013-5331)が発見されました。この脆弱性は、細工された.swfファイルの処理に不備が存在するため、データの型の処理に問題が発生すること(Type Confusion)により起こります。これにより、攻撃者はアプリケーションを異常終了させたり、任意のコードをメモリへ上書きし、実行させることが可能となります。

攻撃者は、細工されたWebサイトを利用者に訪問させることにより、リモートからブラウザを実行する利用者のユーザ権限で任意のコードを実行できる危険性があります。攻撃者は、ブラウザ経由で細工されたWebサイトにユーザを誘導することや、細工されたWebサイトへのリンクを添付した電子メールを送信し、攻撃対象ユーザにファイルを開かせることで、ログオンしているユーザと同じ権限を奪取される危険性があります。

また、細工した.swfファイルを埋め込んだMicrosoft Wordファイルを開かせるといった攻撃例も報告されており、ユーザが意図せずに脆弱性の存在するFlash PlayerがインストールされているクライアントPCを使用している場合にも、上記の様な標的型攻撃を受ける危険性があります。

今回、この脆弱性(CVE-2013-5331)の再現性について検証を行いました。

【影響を受ける可能性があるシステム】
■Windows版およびMacintosh版
– Adobe Flash Player 11.9.900.152 およびそれ以前のバージョン
■Linux版
– Adobe Flash Player 11.2.202.327 およびそれ以前のバージョン
■Windows版およびMacintosh版
– Adobe AIR 3.9.0.1210 およびそれ以前のバージョン
■Android版
– Adobe AIR 3.9.0.1210 およびそれ以前のバージョン- Adobe AIR 3.9.0.1210 SDK およびそれ以前のバージョン
– Adobe AIR 3.9.0.1210 SDK & Compiler およびそれ以前のバージョン

【対策案】
アドビシステムズ社より、この脆弱性を修正するプログラムがリリースされています。
当該脆弱性の修正を含む最新のバージョンを適用していただくことを推奨いたします。

以下のサイトにて、現在使用しているFlash Playerのバージョンが確認できます。(現時点での最新リリースバージョンの確認もできます)
Flash Player の状況確認

Flash Player本体のダウンロードは以下のサイトになります。
FlashPlayerのダウンロード
*GoogleChromeの場合は、Flash Playerの機能がブラウザに統合されているため、Chrome自体のアップデートを行う必要があります。
Google Chromeを更新する
*Windows 8、Windows Server 2012、Windows RT、Windows 8.1、Windows Server 2012 R2 および Windows RT 8.1 上の Internet Explorer 10または、11の場合は、Flash Playerの機能がブラウザに統合されているため、InternetExplorer自体のアップデートを行う必要があります。
マイクロソフト セキュリティ アドバイザリ (2755801)

【参考サイト】
CVE-2013-5331 
NVD – Detail
Adobe Flash Player の脆弱性対策について(APSB13-28)(CVE-2013-5331等):IPA 独立行政法人 情報処理推進機構
JVNDB-2013-005472 – JVN iPedia – 脆弱性対策情報データベース
Adobeセキュリティ速報

【検証イメージ】

kensho2

【検証ターゲットシステム】
Windows 7 SP1日本語版 + Internet Explorer 10 + Flash Player 11.8.800.175

【検証概要】
脆弱性の存在するターゲットPCより、攻撃者が作成した細工された応答を返すサーバにアクセスすることで脆弱性を利用した攻撃を行い、任意のサーバの任意のポートにコネクトバックさせ、結果、シェルを奪取するというものです。
これにより、リモートからターゲットPCの操作が可能となります。

【検証結果】
下図は、攻撃後の誘導先のコンピュータ(MacOS X)の画面です。黄線で囲まれている部分は、誘導先のコンピュータのホスト情報です。一方、赤線で囲まれている部分は、ターゲットPC(Windows 7)において、コマンドを実行した結果が表示されています。

これにより、ターゲットPCの制御を奪うことに成功しました。
kenshou

reported by nao323, ntsuji

Category: exploit | Flash PlayerのType Confusionの脆弱性により、任意のコードが実行される脆弱性(CVE-2013-5331)に関する検証レポート はコメントを受け付けていません。
4月 23

Apache Struts 2のClassLoader を外部から操作される脆弱性(CVE-2014-0094)(S2-020)を利用した攻撃検証レポート

【概要】
前回は検証では攻撃者が制御を誘導することが可能であることを確認しました。今回は実際の攻撃を想定し「webshell」が設置できることを確認します。webshellはブラウザからコマンドを入力し、その結果を表示するようなウェブアプリケーションです。

【影響を受ける可能性があるシステム】

– Apache Struts 2.0.0 –  2.3.16

【対策案】
Apache Software Foundationから本脆弱性を修正されたバージョン「Apache Struts 2.3.16.1」がリリースされております。当該脆弱性が修正された修正プログラムを適用していただくことを推奨いたします。

なお、上記の「Apache Struts 2.3.16.1」では、回避策(Workaround)として記述のあるとおりに初期設定が変更になっております。そのため、緊急のバージョンアップが難しい場合は回避策を実施いただくことを推奨いたします。

【参考サイト】
CVE-2014-0094

Apache Struts 2 Documentation S2-020

Apache Struts2 の脆弱性対策について(CVE-2014-0094)(S2-020)

【検証イメージ】

S2-020-webshell

【検証ターゲットシステム】

Debian 6.0.7 上のApache Tomcat 8.0.3、Apache Struts 2.3.14を利用したWebアプリケーション

【検証概要】
脆弱性の存在するターゲットシステムへ、細工したHTTPリクエストを送信し、webshellプログラムをダウンロードさせ、ダウンロードさせたwebshellから任意のコマンドを実行し情報を取得するというものです。

これにより、リモートからターゲットシステムの操作が可能となります。

【検証結果】
はじめに、攻撃者がwebshellを置いたサーバにアクセスしてみます。設置するwebshellが置いてあります。

S2-020_p1

また、ターゲットシステム上にwebshellが存在しないことを確認します。

S2-020_p2

続いて、ターゲットシステムにwebshellをダウンロードさせるリクエストを送ります。すると、ターゲットシステム上にwebshellがダウンロードされます。

S2-020_p3

さらにターゲットシステムで任意のコマンドを実行してみます。「id」「pwd」「cat /etc/passwd」を実行しています。

S2-020_p4

S2-020_p5

S2-020_p6

このように、前回と異なり、webshellを一度設置するといつでも操作が可能となります。

【考察】
脆弱性への根本的な対策としては、バージョンアップを行うこととなります。
しかし、バージョンアップを行う前に攻撃されてしまうことも考えられるため、今回の例において攻撃された際に被害を最小化するためにはどのようなことを行っておけばよいかを考えてみました。

項目としては以下の4つです。

  1. アプリケーションサーバの実行ユーザの権限を最小化する
  2. 不要なソフトウェアをインストールしない
  3. アプリケーションサーバからの外部への通信を制限する
  4. サーバ上のファイルの改ざんや追加を検知する

 

1. アプリケーションサーバの実行ユーザの権限を最小化する について。

今回の検証ターゲットはアプリケーションサーバ(Tomcat)の実行権限をtomcatユーザとしています。
言い換えると、管理者(root)のみが実行できるコマンドや、操作できるファイルについては攻撃者が実行、読み取りをすることができません。つまり、攻撃に成功した場合でもこの脆弱性単体では全権を奪取されることはないとないと言えます。(Tomcatを動作させている権限が管理者ユーザである場合は、この限りではありません。)
この実行ユーザの権限に関して、脆弱性の利用方法の特徴を捉え、それに応じた厳密な権限の制御を行うことで有効な対策を行えると考えれます。
今回の脆弱性を利用した攻撃は、公開ディレクトリにファイルを生成する必要があります。つまり、攻撃に利用するためのファイルを生成させないよう、Webの公開ディレクトリにはtomcatユーザで書き込みを行わせないということが運用上可能であれば、これは有効な対策の1つだと考えられます。

2. 不要なソフトウェアをインストールしない について。

今回の検証では、webshellをダウンロードする際、wgetコマンドを呼び出しています。wgetは外部からファイルをダウンロードする際に便利で、よく利用されるコマンドの1つです。しかし、これは同時に、攻撃者にとっても便利なツールであることを意味しています。まずは、これらのツールがサーバ上で利用する必要があるのか否かという点から考える必要があります。
必要な場合は、最低限のユーザにのみ利用を許可するという運用が望ましいと考えられます。
今回の場合に当てはめると、管理者ユーザにはwgetの利用を許可するが、tomcatユーザには利用を許可しないといったことが有効な対策の1つであると考えられます。

3. アプリケーションサーバからの外部への通信を制限する について。

今回の検証では同一セグメントからファイルをダウンロードさせていますが、実際の攻撃ではインターネット上からwebshellをダウンロードさせることになります。その際、アプリケーションサーバから直接外部に接続するアクセス先を制限していればwebshellのダウンロードは実施できないと考えられます。たとえば、パッケージや修正プログラムのダウンロード先や、サービス提供に必要なアクセス先のみにアウトバウンド通信を制限しておくといったことが有効な対策の1つであると考えられます。

4. サーバ上のファイルの改ざんや追加を検知する について

今回の検証では、いったんターゲットシステム上に任意のコードを実行するためにファイルを保存する必要があります。「アプリケーションサーバの実行ユーザの権限を最小化する」でふれたように、公開ディレクトリの書き込みを行わない設定にしていれば任意のコードを実行させることはできません。しかし、アプリケーションサ ーバのログファイルは書き込み権限があるため、ログの改ざん余計なファイルを作成されることは考えられます。
このような場合に有効だと考えられるのが、ファイルの改ざんが追加を検知することです。コストが高い大がかりなものから、cron機能を利用した簡単な仕組みまでいろいろな方法が考えられます。

以上は、ほんの一例であり、他にも対策はあると考えられます。また、これさえ実施しておけば完璧!というわけではありません。しかしながら、今回のような攻撃が成功しにくくなったり被害が抑えられる効果はあると考えます。

また、今回あげたような対策は「やって当たり前」と考える方もいるかもしれません。一方で、まったく実施されていないシステムもまだまだあると考えられます。一つの脆弱性をきっかけに現在運用しているシステムについて、最新のバージョンへのアップデート以外にもどのような対策が可能か今一度検討されてみるのはいかがでしょうか。

reported by oda, ntsuji

Category: exploit | Apache Struts 2のClassLoader を外部から操作される脆弱性(CVE-2014-0094)(S2-020)を利用した攻撃検証レポート はコメントを受け付けていません。
4月 21

Apache Struts 2のClassLoader を外部から操作される脆弱性(CVE-2014-0094)(S2-020)に関する検証レポート

【概要】
Apache Struts 2に、ClassLoader を外部から操作される脆弱性(CVE-2014-0094)(S2-020)が発見されました。
この脆弱性は、細工したHTTPリクエストを送信することで外部からClassLoaderの属性を変更することが可能となります。
攻撃者は、細工したHTTPリクエストを送信することでClassLoaderの属性を変更します。属性を変更されることによりウェブアプリケーションサーバを実行しているユーザの権限で任意のファイルを改ざんすることやJavaコードを実行される危険性があります。

本レポート作成(2014年4月19日)時点において、Apache Software Foundationから脆弱性に対応したバージョンがリリースされております。しかし、攻撃方法が公開され、その方法は、容易に実行可能であり脆弱性を利用された場合の影響が大きいことから本レポートを公開いたしました。

【影響を受ける可能性があるシステム】
– Apache Struts 2.0.0 –  2.3.16

【対策案】
Apache Software Foundationから本脆弱性を修正されたバージョン「Apache Struts 2.3.16.1」がリリースされております。当該脆弱性が修正された修正プログラムを適用していただくことを推奨いたします。

なお、上記の「Apache Struts 2.3.16.1」では、回避策(Workaround)として記述のあるとおりに初期設定が変更になっております。そのため、緊急のバージョンアップが難しい場合は回避策を実施いただくことを推奨いたします。

2014年4月23日追記:

三井物産セキュアディレクション社から2.3.16.1に対して修正が不十分であり、脆弱性が存在しているとの指摘があります。また、ビットフォレスト社の「WAF Tech Blog 」でも、これまでの対策を含めて対策方法について指摘がなされています。アップデートだけでは対策が不十分な恐れがあります。

【参考サイト】
CVE-2014-0094

Apache Struts 2 Documentation S2-020

Apache Struts2 の脆弱性対策について(CVE-2014-0094)(S2-020)

2014年4月23日追記:

Apache Struts2(2.3.16、S2-020の修正版)に対するゼロディを弊社エンジニアが発見いたしました。

例えば、Strutsを避ける

【検証イメージ】

【検証ターゲットシステム】
Debian 6.0.7 上のApache Tomcat 8.0.3、Apache Struts 2.3.14を利用したWebアプリケーション

【検証概要】
脆弱性の存在するターゲットPCへ、細工したHTTPリクエストを送信し、任意のサーバの任意のポートにコネクトバックさせるプログラムをJavaコードから実行し、その結果、シェルを奪取するというものです。

これにより、リモートからターゲットPCの操作が可能となります。

【検証結果】
下図は、攻撃後の誘導先のコンピュータ(Windows 7)の画面です。赤線で囲まれている部分は、誘導先のコンピュータのホスト情報です。一方、黄線で囲まれている部分は、ターゲットPC(Linux)において、コマンドを実行した結果が表示されています。これにより、ターゲットPCの制御を奪うことに成功しました。

reported by oda, ntsuji

Category: exploit | Apache Struts 2のClassLoader を外部から操作される脆弱性(CVE-2014-0094)(S2-020)に関する検証レポート はコメントを受け付けていません。
4月 17

Internet Explorerの脆弱性により、任意のコードが実行される脆弱性(CVE-2014-0322)に関する検証レポート

【概要】
Microsoft Internet Explorerに、リモートより任意のコードが実行される脆弱性(CVE-2014-0322)が発見されました。この脆弱性は、日本国内でも悪用された事例があります。
この脆弱性は、CMarkupコンポーネントの処理に不備が存在しており、解放済みメモリ使用の問題が発生することです。これにより、攻撃者は任意のコードをメモリへ上書きし、実行させることが可能となります。

攻撃者は、細工されたWebサイトを利用者に訪問させることにより、リモートからInternet Explorerを実行する利用者のユーザ権限で任意のコードを実行できる危険性があります。攻撃者は、ブラウザ経由で細工されたWebサイトにユーザを誘導することや、細工されたWebサイトへのリンクを添付した電子メールを送信し、攻撃対象ユーザにファイルを開かせることで、ログオンしているユーザと同じ権限を奪取される危険性があります。

本レポート作成(2014年4月17日)時点において、Microsoft社より2014年3月12日に脆弱性の修正プログラムがリリースされております。しかしながら、攻撃を成立させるためのコードが容易に入手可能であり、かつ脆弱性に対する攻撃が容易であること、また攻撃を受けた際にシステムへの影響が大きいことから、今回、この脆弱性(CVE-2014-0322)の再現性について検証を行いました。

【影響を受ける可能性があるシステム】
■Internet Explorer 9
– Windows Vista Service Pack 2
– Windows Vista x64 Edition Service Pack 2
– Windows Server 2008 for 32-bit Systems Service Pack 2
– Windows Server 2008 for x64-based Systems Service Pack 2
– Windows 7 for 32-bit Systems Service Pack 1
– Windows 7 for x64-based Systems Service Pack 1
– Windows Server 2008 R2 for x64-based Systems Service Pack 1

■Internet Explorer 10
– Windows 7 for 32-bit Systems Service Pack 1
– Windows 7 for x64-based Systems Service Pack 1
– Windows Server 2008 R2 for x64-based Systems Service Pack 1
– Windows 8 for 32-bit Systems
– Windows 8 for 64-bit Systems
– Windows Server 2012
– Windows RT

【対策案】
Microsoft社より、この脆弱性を修正するプログラム(MS14-012)がリリースされています。
当該脆弱性が修正された修正プログラムを適用していただくことを推奨いたします。

【参考サイト】
CVE-2014-0322

マイクロソフト セキュリティ情報 MS14-012 – 緊急
Internet Explorer 用の累積的なセキュリティ更新プログラム

「はとバス」「ヤマレコ」のサイト改ざん、IEへのゼロデイ攻撃を仕込まれていた可能性

【検証イメージ】
P06_connectback

【検証ターゲットシステム】
Windows 7 SP1+Internet Explorer 10

【検証概要】
脆弱性の存在するターゲットPCより、攻撃者が作成した細工された応答を返すサーバにアクセスすることで脆弱性を利用した攻撃を行い、任意のサーバの任意のポートにコネクトバックさせ、結果、シェルを奪取するというものです。
これにより、リモートからターゲットPCの操作が可能となります。

【検証結果】
下図は、攻撃後の誘導先のコンピュータ(MacOS X)の画面です。黄線で囲まれている部分は、誘導先のコンピュータのホスト情報です。一方、赤線で囲まれている部分は、ターゲットPC(Windows 7)において、コマンドを実行した結果が表示されています。
これにより、ターゲットPCの制御を奪うことに成功しました。

P06_cve-2014-0322

reported by y.izumita, ntsuji

Category: exploit | Internet Explorerの脆弱性により、任意のコードが実行される脆弱性(CVE-2014-0322)に関する検証レポート はコメントを受け付けていません。
4月 10

Microsoft Word および Office Web Apps のrtfファイル処理の不備により、 任意のコードが実行される脆弱性(CVE-2014-1761)に関する検証レポート

 

【概要】
Microsoft Word および Office Web Apps に、rtfファイルの処理の不備により、リモートより任意のコードが実行される脆弱性(CVE-2014-1761)が発見されました。
この脆弱性は、Microsoft Wordが特別に細工されたrtfファイルを処理する際に、メモリ内の値を正しく処理しないために発生します。

*rtf(Rich Text Format):
文書ファイル形式のひとつで、文字の色や大きさ、レイアウトが保存され、比較的簡易なワープロソフトのデータとして定義されている。

攻撃者がこの脆弱性を利用した場合、実行時のユーザ権限にて任意のコードが実行可能です。
システムメモリが破損する可能性もあり、ユーザが管理者権限であれば、システムの完全な掌握が可能となります。

攻撃者は、細工したrtfファイルが含まれるWebサイトに、攻撃対象ユーザーを誘導し、rtfファイルを開かせたり、細工したrtfファイルを添付した電子メールを送信し、攻撃対象ユーザにファイルを開かせるか、プレビュー表示させることにより、この脆弱性を利用した攻撃が可能となります。
また、Microsoft Wordは、Outlook 2007、Outlook 2010、Outlook 2013の初期設定において、電子メールビューアとなっているため、注意が必要です。

今回、Microsoft Word および Office Web Apps のrtfファイル処理の不備により、任意のコードが実行される脆弱性(CVE-2014-1761)の再現性について検証を行いました。

【影響を受ける可能性があるシステム】
– Microsoft Office 2003 Service Pack 3
– Microsoft Office 2007 Service Pack 3
– Microsoft Office 2010 Service Pack 1 (32 ビット版)
– Microsoft Office 2010 Service Pack 2 (32 ビット版)
– Microsoft Office 2010 Service Pack 1 (64 ビット版)
– Microsoft Office 2010 Service Pack 2 (64 ビット版)
– Microsoft Office 2013 (32 ビット版)
– Microsoft Office 2013 Service Pack 1 (32 ビット版)
– Microsoft Office 2013 (64 ビット版)
– Microsoft Office 2013 Service Pack 1 (64 ビット版)
– Microsoft Office 2013 RT
– Microsoft Office 2013 RT Service Pack 1
– Microsoft Office for Mac 2011
– Microsoft Word Viewer
– Microsoft Office 互換機能パック Service Pack 3
– Microsoft SharePoint Server 2010 Service Pack 1
– Microsoft SharePoint Server 2010 Service Pack 2
– Microsoft SharePoint Server 2013
– Microsoft SharePoint Server 2013 Service Pack 1
– Microsoft Office Web Apps 2010 Service Pack 1
– Microsoft Office Web Apps 2010 Service Pack 2
– Microsoft Office Web Apps 2013
– Microsoft Office Web Apps 2013 Service Pack 1

【対策案】
Microsoft社より、この脆弱性を修正するプログラム(MS14-017)がリリースされています。
当該脆弱性が修正された修正プログラムを適用していただくことを推奨いたします。

また、修正プログラムを適用しない場合の回避策として、以下の方法が提供されています。
・Fix itを適用する
・EMETをインストールする
・rtfファイル開封の無効化設定をする

【参考サイト】
マイクロソフト セキュリティ情報 MS14-017 – 緊急 : Microsoft Word および Office Web Apps の脆弱性により、リモートでコードが実行される (2949660)
CVE-2014-1761
JVNDB-2014-001794 – JVN iPedia – 脆弱性対策情報データベース
セキュリティ アドバイザリ 2953095「Microsoft Word の脆弱性により、リモートでコードが実行される」を公開 – 日本のセキュリティチーム – Site Home – TechNet Blogs

【検証イメージ】
画像元

 

 

 

 

 

 

【検証ターゲットシステム】
Windows 7 SP1 英語版
Office Professional Plus 2010 英語版 SP2

*2014/4/11追記:以下の環境にて、攻撃コードの実行が可能であること確認しました。
Windows7 SP1 日本語版
Office Professional Plus 2010 日本語版 SP2

【検証概要】
攻撃者は、自らが落成したrtfファイルをターゲットPCにて開かせます。ターゲットPCは意図せず、任意のサーバのポートにコネクトバックされ、攻撃者は、ターゲットPCのシェルを奪取するというものです。
これにより、リモートからターゲットPCの操作が可能となります。

【検証結果】
下図は、攻撃後の誘導先のコンピュータ(Linux)のターミナルの画面です。
赤線で囲まれている部分は、誘導先のコンピュータのホスト情報です。一方、黄線で囲まれている部分は、ターゲットPC(Windows7)において、コマンドを実行した結果が表示されています。
これにより、ターゲットPCの制御を奪うことに成功しました。

attack01_jp_final

reported by nao323, ntsuji

Category: exploit | Microsoft Word および Office Web Apps のrtfファイル処理の不備により、 任意のコードが実行される脆弱性(CVE-2014-1761)に関する検証レポート はコメントを受け付けていません。
2月 27

Windowsのカーネルモードドライバの脆弱性により、権限昇格が行える脆弱性(CVE-2013-3881)に関する検証レポート

【概要】
Microsoft Windows7または2008R2のカーネルモードドライバ(win32k.sys)に、ローカルより権限昇格を行える脆弱性(CVE-2013-3881)を利用する攻撃コードが発見されました。
この脆弱性は、win32k.sysへの入力値に対する検証において、エラーが存在することより発生します。これにより、システム上で権限昇格を行うことができ、さらにカーネルモードで任意のコードの実行が可能となります。

攻撃者がこの脆弱性を利用するためには、システムへの有効なログオン情報が必要になります。
攻撃者が何らかの方法でシステムの一般ユーザでのアクセス権を獲得した場合、この脆弱性を利用することで管理者権限も同時に掌握されます。その結果、管理者権限でシステムを操作し、重要情報の改ざん、窃取されてしまうといった危険性があります

本レポート作成(2014年2月19日)時点において、Microsoft社より2013年10月9日に脆弱性の修正プログラムがリリースされております。しかしながら、攻撃を成立させるためのコードが容易に入手可能であり、かつ脆弱性に対する攻撃が容易であること、また攻撃を受けた際にシステムへの影響が大きいことから、今回、このカーネルモードドライバの脆弱性(CVE-2013-3881)の再現性について検証を行いました。

【影響を受ける可能性があるシステム】
– Windows XP Service Pack 3
– Windows XP Professional x64 Edition Service Pack 2
– Windows Server 2003 Service Pack 2
– Windows Server 2003 x64 Edition Service Pack 2
– Windows Server 2003 with SP2 for Itanium-based Systems
– Windows Vista Service Pack 2
– Windows Vista x64 Edition Service Pack 2
– Windows Server 2008 for 32-bit Systems Service Pack 2(Server Coreインストールを含む)
– Windows Server 2008 for x64-based Systems Service Pack 2(Server Coreインストールを含む)
– Windows Server 2008 for Itanium-based Systems Service Pack 2
– Windows 7 for 32-bit Systems Service Pack 1
– Windows 7 for x64-based Systems Service Pack 1
– Windows Server 2008 R2 for x64-based Systems Service Pack 1(Server Coreインストールを含む)
– Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
– Windows 8 for 32-bit Systems
– Windows 8 for x64-based Systems
– Windows Server 2012(Server Coreインストールを含む)
– Windows RT

【対策案】
Microsoft社より、この脆弱性を修正するプログラム(MS13-081)がリリースされています。
当該脆弱性が修正された修正プログラムを適用していただくことを推奨いたします。

【参考サイト】
CVE-2013-3881

マイクロソフト セキュリティ情報 MS13-081 – 緊急
Windows カーネルモード ドライバーの脆弱性により、リモートでコードが実行される (2870008)

【検証イメージ】
P05_post 

【検証ターゲットシステム】
Windows 7

【検証概要】
攻撃者は、自らが作成したファイルを利用者に実行させます。これにより、利用者は意図せず攻撃者が用意したサーバに対して接続が行われます。その後、ターゲットPCに対して脆弱性を利用した攻撃を行うことにより、利用者の権限よりも上位の権限に昇格するというものです。

【検証結果】
下図は、攻撃後の誘導先のコンピュータ(Linux)のターミナルの画面です。赤線で囲まれている部分は、ターゲットPC(Windows 7)から誘導先のコンピュータに対して接続が行われた際の画面です。ここでは、Domain Users権限で接続が行われています。一方、黄線で囲まれている部分は、脆弱性を利用した際の画面です。ここでは、system権限で接続が行われています。
これにより、権限昇格を行うことに成功しました。

P05_cve-2013-3881_cut

reported by y.izumita, ntsuji

Category: exploit | Windowsのカーネルモードドライバの脆弱性により、権限昇格が行える脆弱性(CVE-2013-3881)に関する検証レポート はコメントを受け付けていません。
1月 29

リモートデスクトップにPass-the-Hashしてみました。

rd_cut
Kali Linuxのblogを見て試してみました。

Pass-the-Hashって何?という方もいらっしゃると思いますので(かなり)簡単に説明します。
WIndowsはログオン(最近はサインインと言うようですね。)パスワードは平文ではなく、ハッシュ関数を用いてハッシュ化して保存されています。

ntsujiというユーザ名でntsujiというパスワード設定した場合は以下のように保存されました。

ntsuji:1001:NO PASSWORD*********************:622BB9FF06C09173842E03C47E49F33F:::

「622BB9FF06C09173842E03C47E49F33F」の部分が「ntsuji」というパスワードをハッシュ化したものです。

通常ログオンする際には、「ntsuji」と設定したパスワードを入力しなければログオンできません。
これはリモートデスクトップでも同じことです。
しかし、このハッシュ化された文字列を用いてログオンする手法があります。
それがPass-the-Hashです。

それの何が便利なの?ということなのですが、何も便利ではありません。
通常使っている分には。
しかし、攻撃者からするととても便利な手法なのです。

例えば、1台のコンピュータへの侵入に成功し、そのコンピュータからパスワードハッシュを入手したとします。その情報を使って他のコンピュータに侵入を試みるには、通常のログオン同様、ハッシュ化されたパスワードではなく、元のパスワード、つまり、平文のパスワードが必要になるわけです。
そのためには一旦、そのパスワードハッシュを平文の戻す作業が必要となり、一手間多くかかってしまいます。パスワードの強度次第では平文に戻すための作業にかける時間が膨大になる、もしくは、現実的な時間では戻せない場合もあります。そこで、Pass-the-Hashを用いることでパスワードハッシュさえあれば、それを使って侵入を試みるということが実現可能となるわけです。
もちろん、手元にあるパスワードハッシュが他のホストで使用されているものと異なる場合は侵入には成功しません。逆にいうとパスワードの使い回しが行なわれていれば一網打尽にできてしまうということになります。
[email protected][email protected][email protected]

パスワードの定期変更という“不自然なルール” (4/4)

そろそろ本題です。

今までは、リモートデスクトップではPass-the-Hashを行なうことはできませんでした。
しかし、RDP 8.1からは、Restricted Admin Modeがサポートされたことにより可能となったようです。

ということで試してみました。
利用するツールは「FreeRDP」なのですが、公式のものにパッチを適用するか、こちらを利用する必要があります。

Kali Linuxを利用している場合は

apt-get update
apt-get install freerdp-x11

とすればPass-the-Hashに対応した「FreeRDP」を利用することができます。

シンタックスは以下の通りです。

xfreerdp /u:ユーザ名 /pth:パスワードハッシュ /v:ターゲットのアドレス

以下が、Windows 8.1への実行結果です。
8.1

特に問題なくパスワードハッシュを用いてリモートでスクトップを利用することが可能でした。

ちなみに、RDP 8.1は、Windows 8.1、Windows 2012 R2からですので、それ以前のOSではこの手法は使用できません。
念の為、Windows 8とWindows 7にも試してみました。

【WIndows 8 の場合】
8

【WIndows 7 の場合】
7

また、ターゲットとする権限は「Administrators」に属している必要があり「Remote Desktop Users」ではこの手法は利用できないようです。以下は、Windows 8.1上に作成した「Remote Desktop Users」に属する「rdp-user」へPass-the-Hashを行なった結果です。
8.1rdpuser

RDP 8.1 で「Administrators」に属さないないユーザではもPass-the-Hashによるログオンができないということがお分かりいただけたかと思います。

【2014/01/30追記】
Restricted Admin modeについて北河拓士さんからコメントをいただきました。
以下はその内容をまとめたものです。

Restricted Admin modeの導入の理由としては、既に侵入されてしまっているマシンに対して、ヘルプデスクがメンテナンスを行なうためにリモートデスクトップでDomain Adminsに属するユーザででログオンした際「mimikatz」などを利用してメモリ上からそのDomain Adminsに属するユーザのパスワードを平文で取得されないように制限を付けるというメリットのためです。
Restricted Admin modeについての説明をした資料はこちら[PDF]が詳しいかと思います。

セキュリティ強化を行なうために導入された機能が新たな攻撃方法の成功を生んでしまうことはなんとも皮肉なことかもしれませんが、攻撃者が既にハッシュを持っているという状態で行なう攻撃ですとリモートデスクトップとは別の経路でPass-the-Hashも可能です。それらを考慮すると以前よりもセキュリティ機能としては+αされたと言えるのではないかと思います。

Restricted Admin modeが導入されている環境下での「mimikatz」実行結果に関してのエントリーはまた別の機会に。

Category: exploit, memo | リモートデスクトップにPass-the-Hashしてみました。 はコメントを受け付けていません。
1月 17

MetasploitのVirus Totalでマルウェア判定するモジュール

MetasploitにVirus Totalを利用してマルウェア判定するためのモジュールが追加されたようなので使ってみました。モジュールは2つ。
ローカルのファイルを判定する場合は「tools/virustotal.rb
Exploitしたホスト上のファイルを判定する場合は「module/post/multi/gather/check_malware.rb
です。(上記PathはMetasploitのディレクトリからのものです。)

今回はお約束の「eicar.com」を判定してみました。

【tools/virustotal.rbの場合】
virustotal.rb

【module/post/multi/gather/check_malware.rbの場合】
check_malware

Category: exploit, malware | MetasploitのVirus Totalでマルウェア判定するモジュール はコメントを受け付けていません。