10月 29

zmapを32bitのKaliにインストールしましたよ。

ミシガン大学の研究者たちが開発したオープンソースのネットワークスキャナ「ZMAP」を32bit環境インストールしたときのメモです。このツールは、ステートレス化を行なうことでインターネット上にあるすべてのIPv4アドレスをわずか45分でスキャンできたという鳴り物入りのツールです。

下準備

sudo apt-get install libgmp3-dev libpcap-dev gengetopt

ダウンロードと展開・移動

wget https://github.com/zmap/zmap/archive/v1.0.3.tar.gz
tar zxvf v1.0.3.tar.gz
cd v1.0.3

このツールは64bit環境での動作を想定しているそうなのですが
32bit環境でもソースの一部を修正することで動作させることが可能となります。

修正箇所は以下の通りです。

【lib/blacklist.c】
127行

allowed, allowed*100./(1L << 32)); ↓ allowed, allowed*100./((long long int)1 << 32));

【src/zmap.c】
84行

#define SLU(w,x,y) printf(“%s\t%s\t%lu\n”, w, x, y);

#define SLU(w,x,y) printf(“%s\t%s\t%lu\n”, w, x, (long unsigned int)y);

461行

v = v * (1L << 32) / 100.; ↓ v = v * ((unsigned long long int)1 << 32) / 100.;

470行

else if (v >= (1L << 32)) { ↓ else if (v >= ((unsigned long long int)1 << 32)) {

インストール

cd src
make
make install

参考URL:
https://github.com/zmap/zmap/commit/779424fe2c7bd6bee525a1705fa878b965fb242c

Category: memo | zmapを32bitのKaliにインストールしましたよ。 はコメントを受け付けていません。
10月 25

Apple IDのログインを失敗するとどうなるか確認しましたよ。

最近話題になっているApple IDですが
気になったので自分のApple IDでログインの失敗をするとどうなるのかの確認をしてみました。

きっかけはこちらの記事に以下のようにあったためです。

まず実際に筆者がApple IDで受けた経験を基に、リスト攻撃を受けた際の状況を見てみよう。

 図1は、筆者がApple IDに対して攻撃を受けた際に、Appleから受け取ったパスワードリセットに関するメールのスクリーンショットである。このメールは図2に示した通り、2013年10月22日から23日の間に5回届いている。つまりこの短期間に5回の攻撃を受けたということだ。

このページから「Apple IDを管理」を選択。
WS000074

「サインイン」画面に移るのでそこで何度か間違えてみます。
WS000075

3回間違えると強制的に「パスワードの再設定」に移動します。
WS000077

この画面は「サインイン」の画面にある「パスワードをお忘れの場合」をクリックしたときと同じページです。
ここで自身のApple IDを入力すると(数回間違えた際にはサインイン時に入力したものが自動で入力されるようです。)以下のような画面に移ります。
WS000078

ここで「Eメール認証」を選択して「」次へをクリックすると設定しているメールアドレスにパスワード再設定のためのリンクが記載されたメールが「[email protected]」から届きます。
WS000079

ボクが試して範囲では、ログイン試行を3回失敗して、なおかつ、「Eメールによる認証」を行うという選択をしなければAppleからのパスワード再設定のメールは届かないということが分かりました。オンラインパスワードクラッカーなどを使って多くの試行を行ってはいませんがそれだけではこのメールは届かないような気がします。試しに手動でパスワードの再設定を行わず10回ほどサインインの失敗をしてみましたがメールは届きませんでした。ログイン試行を繰り返す攻撃だけでは通知はいかないものと考えられます。

ボクの気になった記事とは別に
フィッシング?:アップルIDのパスワード狙う 大量にメール送信

【注意喚起】Apple IDの「パスワード再設定」をかたるメールに注意 / 念のためパスワード等の変更を
といった記事が出ていますがこれがフィッシングメールかどうかというところはこの話とは別に気になります。

もちろん、身に覚えのないメールであれば放置しておくことが一番だと思います。

どなたか受け取った方いらっしゃいましたらこっそり情報いただけると嬉しいです。

【10月27日追記】
このメールがフィッシングではないということを前提条件としてAppleからのメールを送ることで成立する攻撃を行なうためには、攻撃を行なうターゲットのメールアカウント自身の制御下に置いておく必要があると思います。
つまり、Apple IDでパスワードをリセットする前にリセット用のURLが送信されるメールアカウントを事前に乗っ取っておくということです。そうすれば、攻撃者は、リセットメールに記載されたURLにアクセスすることで自身の好きなパスワードを設定することが可能であるためターゲットのApple IDを乗っ取ることに成功することでしょう。

しかし、攻撃者はリセットを行なった後のメールは正規のユーザが見る前に削除すると思いますし、Apple IDのパスワードをリセットして正規のユーザのものと異なるものを設定した場合は、正規のユーザが利用するタイミングで発覚してしまいますね。発覚するまでに不正利用してしまうという考え方もあると思いますが、攻撃者としては正規のユーザが設定したパスワードを知りたいと思うような気がしますね。

転送先を追加しておくということも考えたのですが、それでも正規のユーザの目にメールが触れてしまうことを避けたいと考えるでしょう。
ものは試しということで自分のgmailアカウントに転送設定をしてみたのですが転送設定を完了させると転送元にログインした時点でこのような通知が表示されます。

gmail_fw_notify
設定では転送したメールをメールボックスから自動で削除することもできます。

gmail_fw_op

また、outlook.comでもgmail同様に設定ができ、転送されていることの通知も表示されました。
outlook_fw_op

outlook_fw_notify

引き続き、Apple IDからこの手のメールが来た方いらっしゃいましたら情報をいただければ幸いです。

Category: memo | Apple IDのログインを失敗するとどうなるか確認しましたよ。 はコメントを受け付けていません。
10月 1

Internet Explorerのmshtml.dll存在するuse-after-freeの脆弱性により、 任意のコードが実行される脆弱性(CVE-2013-3893)に関する検証レポート

【概要】
Microsoft Internet Explorerに、リモートより任意のコードが実行される脆弱性(CVE-2013-3893)が発見されました。この脆弱性は、日本の複数の組織を攻撃目標としていることから最近話題となっている問題です。
この脆弱性はmshtml.dllモジュールに存在しており、オブジェクトが解放される際に、オブジェクトへのポインタを削除しないために発生します。これにより、Internet Explorerは不正なメモリアドレスを呼び出すよう強制されます。

攻撃者は、細工されたWebサイトを利用者に訪問させることにより、リモートからInternet Explorerを実行する利用者のユーザ権限で任意のコードを実行できる危険性があります。攻撃者は、細工されたWebサイトにユーザを誘導することや、細工されたWebサイトへのリンクを添付した電子メールを送信し、攻撃対象ユーザにファイルを開かせることで、ログオンしているユーザと同じ権限を奪取される危険性があります。

現時点(2013年10月1日)において、Microsoft社から脆弱性への対策、回避策などのアナウンスが公開されております。しかし、脆弱性に対応した修正するプログラムはリリースされておりません。システムへの影響が大きいことから、脆弱性の再現性について検証を行いました。

【影響を受ける可能性があるシステム】
■Internet Explorer 6
– Windows XP Service Pack 3
– Windows XP Professional x64 Edition Service Pack 2
– Windows Server 2003 Service Pack 2
– Windows Server 2003 x64 Edition Service Pack 2
– Windows Server 2003 with SP2 for Itanium-based Systems

■Internet Explorer 7
– Windows XP Service Pack 3
– Windows XP Professional x64 Edition Service Pack 2
– Windows Server 2003 Service Pack 2
– Windows Server 2003 x64 Edition Service Pack 2
– Windows Server 2003 with SP2 for Itanium-based Systems
– Windows Vista Service Pack 2
– Windows Vista x64 Edition Service Pack 2
– Windows Server 2008 for 32-bit Systems Service Pack 2
– Windows Server 2008 for x64-based Systems Service Pack 2
– Windows Server 2008 for Itanium-based Systems Service Pack 2

■Internet Explorer 8
– Windows XP Service Pack 3
– Windows XP Professional x64 Edition Service Pack 2
– Windows Server 2003 Service Pack 2
– Windows Server 2003 x64 Edition Service Pack 2
– Windows Server 2003 with SP2 for Itanium-based Systems
– Windows Vista Service Pack 2
– Windows Vista x64 Edition Service Pack 2
– Windows Server 2008 for 32-bit Systems Service Pack 2
– Windows Server 2008 for x64-based Systems Service Pack 2
– Windows 7 for 32-bit Systems Service Pack 1
– Windows 7 for x64-based Systems Service Pack 1
– Windows Server 2008 R2 for x64-based Systems Service Pack 1
– Windows Server 2008 R2 for Itanium-based Systems Service Pack 1

■Internet Explorer 9
– Windows Vista Service Pack 2
– Windows Vista x64 Edition Service Pack 2
– Windows Server 2008 for 32-bit Systems Service Pack 2
– Windows Server 2008 for x64-based Systems Service Pack 2
– Windows 7 for 32-bit Systems Service Pack 1
– Windows 7 for x64-based Systems Service Pack 1
– Windows Server 2008 R2 for x64-based Systems Service Pack 1

■Internet Explorer 10
– Windows 7 for 32-bit Systems Service Pack 1
– Windows 7 for x64-based Systems Service Pack 1
– Windows Server 2008 R2 for x64-based Systems Service Pack 1
– Windows 8 for 32-bit Systems
– Windows 8 for 64-bit Systems
– Windows Server 2012
– Windows RT

■Internet Explorer 11
– Windows 8.1 for 32-bit Systems
– Windows 8.1 for 64-bit Systems
– Windows Server 2012 R2
– Windows RT 8.1

【対策案】
この脆弱性は、このエントリー作成現在、修正プログラムがリリースされいないため暫定の回避策を行うことになります。Microsoft社では、回避策としてFix it ソリューションマイクロソフト セキュリティ アドバイザリ: Internet Explorer の脆弱性により、リモートでコードが実行されるの適用、またはEMETの導入、またはInternet Explorerのセキュリティゾーンを「高」とする、を推奨しています。これらの詳細については、マイクロソフト セキュリティ アドバイザリ (2887505)の[推奨するアクション] [回避策]をご覧ください。

【参考サイト】
CVE-2013-3893

マイクロソフト セキュリティ アドバイザリ (2887505)
Internet Explorer の脆弱性により、リモートでコードが実行される

Internet Explorer の脆弱性対策について(CVE-2013-3893)

【検証イメージ】

attack_img

【検証ターゲットシステム】
Windows 7 SP1上のInternet Explorer 9、およびOffice 2007

【検証概要】
脆弱性の存在するターゲットPCより、攻撃者が作成した細工された応答を返すサーバにアクセスすることで脆弱性を利用した攻撃を行い、任意のサーバの任意のポートにコネクトバックさせ、結果、シェルを奪取するというものです。
これにより、リモートからターゲットPCの操作が可能となります。

【検証結果】
下図は、攻撃後の誘導先のコンピュータ(MacOS X)の画面です。黄線で囲まれている部分は、誘導先のコンピュータです。一方、赤線で囲まれている部分は、ターゲットPC(Windows 7)において、コマンドを実行した結果が表示されています。
これにより、ターゲットPCの制御を奪うことに成功しました。

cve-2013-3893cut

special thx:
y.izumita

Category: exploit | Internet Explorerのmshtml.dll存在するuse-after-freeの脆弱性により、 任意のコードが実行される脆弱性(CVE-2013-3893)に関する検証レポート はコメントを受け付けていません。