11月 29

ActiveXコントロールの処理の脆弱性により、任意のコードが実行される脆弱性(CVE-2013-3918)に関する検証レポート

【概要】
Microsoft ActiveXコントロールに、リモートより任意のコードが実行される脆弱性(CVE-2013-3918)が発見されました。
この脆弱性はActiveXコントロールのicardie.dllに存在しており、Internet Explorerが細工されたActiveXコントロールを読み込む際に、メモリの範囲外へアクセスすることにより発生します。これにより、Internet Explorerは不正なメモリアドレスを呼び出すよう強制されます。

攻撃者は、細工されたWebサイトを利用者に訪問させることにより、リモートからInternet Explorerを実行する利用者のユーザ権限で任意のコードを実行できる危険性があります。攻撃者は、ブラウザ経由で細工されたWebサイトにユーザを誘導することや、細工されたWebサイトへのリンクを添付した電子メールを送信し、攻撃対象ユーザにファイルを開かせることで、ログオンしているユーザと同じ権限を奪取される危険性があります。

現時点(2013年11月28日)において、検証に使用した攻撃コードは英語版のWindowsを対象としています。しかしながら今後、他の言語に対応した攻撃コードが出現する可能性は高いことから、脆弱性の再現性について検証を行いました。

【影響を受ける可能性があるシステム】
– Windows XP Service Pack 3
– Windows XP Professional x64 Edition Service Pack 2
– Windows Server 2003 Service Pack 2
– Windows Server 2003 x64 Edition Service Pack 2
– Windows Server 2003 with SP2 for Itanium-based Systems
– Windows Vista Service Pack 2
– Windows Vista x64 Edition Service Pack 2
– Windows Server 2008 for 32-bit Systems Service Pack 2
– Windows Server 2008 for x64-based Systems Service Pack 2
– Windows Server 2008 for Itanium-based Systems Service Pack 2
– Windows 7 for 32-bit Systems Service Pack 1
– Windows 7 for x64-based Systems Service Pack 1
– Windows Server 2008 R2 for x64-based Systems Service Pack 1
– Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
– Windows 8 for 32-bit Systems
– Windows 8 for x64-based Systems
– Windows 8.1 for 32-bit Systems
– Windows 8.1 for x64-based Systems
– Windows Server 2012
– Windows Server 2012 R2
– Windows RT
– Windows RT 8.1

【対策案】
Microsoft社より、この脆弱性を修正するプログラム(MS13-090)がリリースされています。
当該脆弱性が修正された修正プログラムを適用していただくことを推奨いたします。

【参考サイト】
CVE-2013-3918

マイクロソフト セキュリティ情報 MS13-090 – 緊急
ActiveX の Kill Bit の累積的なセキュリティ更新プログラム (2900986)

【検証イメージ】
P01_connectback

【検証ターゲットシステム】
Windows XP SP3 英語版

【検証概要】
脆弱性の存在するターゲットPCより、攻撃者が作成した細工された応答を返すサーバにアクセスすることで脆弱性を利用した攻撃を行い、任意のサーバの任意のポートにコネクトバックさせ、結果、シェルを奪取するというものです。
これにより、リモートからターゲットPCの操作が可能となります。

【検証結果】
下図は、攻撃後の誘導先のコンピュータ(MacOS X)の画面です。赤線で囲まれている部分は、誘導先のコンピュータのホスト情報です。一方、黄線で囲まれている部分は、ターゲットPC(Windows XP)において、コマンドを実行した結果が表示されています。
これにより、ターゲットPCの制御を奪うことに成功しました。

P02_MS13-090en_cut

reported by y.izumita, ntsuji

Category: exploit | ActiveXコントロールの処理の脆弱性により、任意のコードが実行される脆弱性(CVE-2013-3918)に関する検証レポート はコメントを受け付けていません。
11月 1

CGI版のPHPの処理の脆弱性により任意のコードが実行される脆弱性(CVE-2012-1823)に関する検証レポート

【概要】
DebianやUbuntuのphp5-cgiパッケージに、リモートより任意のコードが実行される脆弱性(CVE-2012-1823)を利用可能な、新たな攻撃コードが発見されました。
この脆弱性(CVE-2012-1823)は、PHPをCGIモードで動作させている場合に影響を受け、攻撃対象からPHPのソースコードを漏洩させる、または任意のコードを実行することが可能になります。
DebianやUbuntuのPHPのソースコードsapi/cgi/cgi_main.cでは、php.iniに対してcgi.force_redirectがセットされる際に、cgi.redirect_status_envはデフォルトでnull値が設定されます。これにより、ApacheなどのWebサーバを利用している場合にPHPのセキュリティチェック機能が回避され、任意のコードが実行可能となります。

攻撃者は、CGIモードで動作しているPHPコンテンツに対して、リモートからソースコードを参照したり、またはWebサーバの動作権限で任意のコードの実行が可能です。(2013年11月7日修正)
攻撃者は、CGIモードで動作しているPHPコンテンツまたはphp-cgiに対して、リモートからソースコードを参照したり、またはWebサーバの動作権限で任意のコードの実行が可能です。

今回、この脆弱性の再現性について検証を行いました。

【影響を受ける可能性があるシステム】
– PHP 5.4.2 以下のバージョン
– PHP 5.3.12 以下のバージョン

【対策案】
この脆弱性が修正されたPHPバージョン5.4.2よりも新しいバージョンのPHP、または、5.3.12よりも新しいバージョンのPHPにアップデートしていただく事を推奨いたします。

【参考サイト】
CVE-2012-1823

【検証イメージ】
cve-2012-1823image

【検証ターゲットシステム】
Debian 5.0.9

【検証概要】
脆弱性の存在するターゲットPCより、攻撃者が作成した細工された応答を返すサーバにアクセスすることで脆弱性を利用した攻撃を行い、任意のサーバの任意のポートにコネクトバックさせ、結果、シェルを奪取するというものです。
これにより、リモートからターゲットPCの操作が可能となります。

【検証結果】
下図は、攻撃後の誘導先のコンピュータ(MacOS X)の画面です。黄線で囲まれている部分は、誘導先のコンピュータのホスト情報です。一方、赤線で囲まれている部分は、ターゲットPC(Debian)において、コマンドを実行した結果が表示されています。
これにより、ターゲットPCの制御を奪うことに成功しました。

cve-2012-1823cutline

special thx:
y.izumita

【2013年11月7日修正】
コメントをいただきましたので本文を訂正させていただきました。
ozuma5119さん、ご指摘ありがとうございます。

Category: exploit | CGI版のPHPの処理の脆弱性により任意のコードが実行される脆弱性(CVE-2012-1823)に関する検証レポート はコメントを受け付けていません。