2014年11月

Linuxカーネルの脆弱性により、権限昇格が行える脆弱性（CVE-2014-3153）に関する検証レポート

【概要】
Linuxカーネルに、システムにログイン可能な一般ユーザーが権限昇格を行える脆弱性（CVE-2014-3153）の攻撃方法が発見されました。この脆弱性は過去にAndroidのroot化を行う目的で利用されていた実績のある脆弱性です。
この脆弱性はkernelのfutexサブシステムの処理に不備が存在しており、悪意のあるローカルユーザーが細工したfutexシステムコールを送信することでリング0の制御を奪取することが可能です。

【※上記説明文章の参考ページ】

Linux kernel futex local privilege escalation

Debian セキュリティ勧告

本レポート作成（2014年11月27日）時点において、The Linux Kernel Archiveより2014年6月7日に脆弱性を修正するバージョンのカーネルがリリースされていることが確認できております。しかしながら、攻撃を成立させるためのコードが容易に入手可能であり、かつ脆弱性に対する攻撃が容易であること、また攻撃を受けた際にシステムへの影響が大きいことから、今回、この脆弱性（CVE-2014-3153）の再現性について検証を行いました。

【影響を受ける可能性があるシステム】
– Linux Kernel 3.14.5よりも以前のバージョン

現在利用されているシステムのカーネルバージョンは、以下のコマンドを実行することにより確認が可能です。

uname -r

【対策案】
この脆弱性を修正するバージョンのカーネル（3.14.6）がリリースされています。
またRedhat Enterprise Linuxの場合、6系ならばkernel-2.6.32-431.20.3.el6以降のパッケージで、7系ならばkernel-3.10.0-123.4.2.el7以降のパッケージでこの問題が修正されています。
当該脆弱性が修正されたカーネルにアップデートしていただくことを推奨いたします。

なお、この脆弱性を利用するためには、システムにログインできることが前提です。そのため、運用上カーネルのアップデートを実施できない場合は、システムに登録されているユーザーのパスワードを強固にしていただくこと、またシステムへのアクセス可能な経路を必要最低限に制限していただくことにより、攻撃を受ける可能性を低減することが可能です。
しかしながら、正規のユーザーによりこの脆弱性を利用された場合は、上記の対策は回避策とはなりません。よって、根本的に問題を解決していただくため、カーネルのバージョンアップを実施していただくことが推奨されます。

【参考サイト】
CVE-2014-3153

JVNDB-2014-002785 Linux Kernel の kernel/futex.c の futex_requeue 関数における権限を取得される脆弱性

Kernel ChangeLog-3.14.6

【検証イメージ】

【検証ターゲットシステム】
CentOS 7.0.1406

【検証概要】
脆弱性の存在するターゲットに一般ユーザーでログイン後、攻撃者が作成した細工されたコードを実行することにより権限昇格を行い、結果root権限を奪取するというものです。
これにより、ターゲットで全権の操作が可能となります。

【検証結果】
下図は、ターゲットシステム（CentOS）の画面です。黄線で囲まれている部分は、細工されたコードを実行する前のカーネル情報および一般ユーザーを示すID情報が表示されています。一方、赤線で囲まれている部分は、細工されたコードを実行した後の画面で、rootユーザーのID情報が表示されています。
これにより、ターゲットシステムで権限昇格を行うことに成功しました。

reported by y.izumita, ntsuji

Category: exploit | コメントを受け付けていません

11月 26

1Password(Win版)がキーロガーに耐性があるか確認してみましたよ。

マルウェア「Citadel」に特定のパスワード管理ソフトのプロセスを検知するとキー入力を取得するという機能が追加されたという報道がありました。この狙いは、パスワード管理ソフトの要である「マスターパスワード」を盗み取るためでしょう。
マスターパスワードとは、登録されているすべてのパスワードにアクセスするための最も大切なパスワードです。例えるなら守衛室にあるような色々な部屋の鍵が入れてあるロッカーの鍵だと思っていただければいいかと思います。
パスワード管理ソフトでは登録されているすべてのパスワードをまとめたファイル（以下、パスワードデータ）は、このマスターパスワードで暗号化されています。そのため、仮にマルウェアに感染していて、最悪、パスワードデータを盗み出せたとしてもマスターパスワードが分からない限り中身を見ることができないわけです。しかし、前述したようにこのマスターパスワードを盗むために追加されたと思われる機能により、マルウェアに感染することでその理屈が通用しない状態となったわけです。
（パスワード管理ソフトの種別としては大きく分けて、パスワードデータがパスワード管理ソフトのインストールされているコンピュータに保存しているものと、クラウド上に保存する2つのタイプがあります。今回は前者のタイプへの確認です。）

パスワード管理ソフトにお世話になっているボクとしてはかなりの脅威です。

ということで今回はメインで使用しているパスワード管理ソフト「1Password」のWindows版においてマスターパスワード入力時にキーロガーから保護することが可能かどうかの確認を自作のキーロガーソフトで確認してみました。（入力文字列はテスト用です。）

1Passwordを起動し下図のように入力を行うと入力した文字列をキーロガーで取得することに成功し表示されました。

しかし、下図のように「Unlock on Secure Desktop」ボタンで表示される入力ボックスに入力をした場合には入力した文字列はキーロガーでは取得できず表示されませんでした。

残念ながらブラウザの拡張では「Unlock on Secure Desktop」ボタンがないためこの機能を使うことはできませんでした。（Chrome, Firefoxで確認）

ブラウザの拡張ではなく、アプリの「Unlock on Secure Desktop」からマスターパスワードを入力し、ロックを解除しておけば設定されている時間内はブラウザの拡張もアンロック状態になりますので、その順でロックを解除するという運用は可能です。

ボクの作ったキーロガーで盗めないからといって、他のキーロガーで盗めないとは限りません。
もし、このあたりに詳し方がいらっしゃいましたらTwitterなどでこっそり教えていただけると嬉しいです。

Category: memo | コメントを受け付けていません

11月 17

Windows OLEの脆弱性によりリモートより任意のコードが実行される脆弱性(MS14-064)(CVE-2014-6332, CVE-2014-6352 )に関する調査レポート

【概要】
Windows OLE*に複数の脆弱性があるため、リモートより任意のコードが実行される脆弱性が発見されました。

*OLE(Object Linking and Embedding)：
複数のデータや機能が含まれた複合データを、一つのアプリケーションで編集を可能とするテクノロジです。例えば、これによりWordに埋め込まれたExcelスプレッドシートをExcelを起動せずに、Word上で編集することが可能となります。

上記の脆弱性により、２種類の脆弱性(CVE-2014-6332とCVE2014-6352)が公開されています。

・CVE-2014-6332について
Windows OLEのOleAut32.dllライブラリがSAFEARRAY オブジェクトのサイズのエラーを検証する際の処理に不具合があるため、Internet Explorer Enhanced Protected Mode (EPM) サンドボックスや Enhanced Mitigation Experience Toolkit (EMET) をバイパスすることが可能です。このため、攻撃者はVBScriptを使用して細工したWebページに、攻撃対象者を誘導することにより、攻撃対象者のInternet Explorerを実行している権限を奪うことが可能となります。

・CVE-2014-6352について
攻撃者は、細工したOLEオブジェクトを含むOfficeファイルを作成し、そのファイルが含まれるサイトに攻撃対象者を誘導しファイルを開かせたり、電子メールにファイルを添付して送信し攻撃対象者に開かせる等の行為により、攻撃対象者がファイルを開いた際の実行権限にて任意のコードを実行することが可能です。

今回、Microsoftが提供している更新プログラム(MS14-064)の修正対象となっている、二つの脆弱性（CVE-2014-6332とCVE-2014-6352)について検証を行いました。

【影響を受ける可能性があるシステム】
・CVE-2014-6332
　- Windows Server 2003 Service Pack 2
　- Windows Server 2003 x 64 Edition Service Pack 2
　- Windows Server 2003 with SP2 for Itanium-based Systems
　- Windows Vista Service Pack 2
　- Windows Vista x64 Edition Service Pack 2
　- Windows Server 2008 for 32-bit Systems Service Pack 2
　- Windows Server 2008 for x64-based Systems Service Pack 2
　- Windows Server 2008 for Itanium-based Systems Service Pack 2
　- Windows 7 for 32-bit Systems Service Pack 1
　- Windows 7 for x64-based Systems Service Pack 1
　- Windows Server 2008 R2 for x64-based Systems Service Pack 1
　- Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
　- Windows 8 for 32-bit Systems
　- Windows 8 for x64-based Systems
　- Windows 8.1 for 32-bit Systems
　- Windows 8.1 for x64-based Systems
　- Windows Server 2012
　- Windows Server 2012 R2
　- Windows RT
　- Windows RT 8.1
　- Windows Server 2008 for 32-bit Systems Service Pack 2(Server Core インストール)
　- Windows Server 2008 for x64-based Systems Service Pack 2(Server Core インストール)
　- Windows Server 2008 R2 for x64-based Systems Service Pack 1(Server Core インストール)
　- Windows Server 2012(Server Core インストール)
　- Windows Server 2012 R2(Server Core インストール)

・CVE-2014-6352
　- Windows Vista Service Pack 2
　- Windows Vista x64 Edition Service Pack 2
　- Windows Server 2008 for 32-bit Systems Service Pack 2
　- Windows Server 2008 for x64-based Systems Service Pack 2
　- Windows Server 2008 for Itanium-based Systems Service Pack 2
　- Windows 7 for 32-bit Systems Service Pack 1
　- Windows 7 for x64-based Systems Service Pack 1
　- Windows Server 2008 R2 for x64-based Systems Service Pack 1
　- Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
　- Windows 8 for 32-bit Systems
　- Windows 8 for x64-based Systems
　- Windows 8.1 for 32-bit Systems
　- Windows 8.1 for x64-based Systems
　- Windows Server 2012
　- Windows Server 2012 R2
　- Windows RT
　- Windows RT 8.1

【対策案】
Microsoft社より、この脆弱性を修正する更新プログラム（MS14-064）がリリースされています。
当該脆弱性を修正する更新プログラムを適用していただくことを推奨いたします。

CVE-2014-6332の脆弱性については、回避策は確認されておりません。上記の更新プログラム（MS14-064)の適用を推奨します。

CVE-2014-6352の脆弱性については、更新プログラムを適用しない場合の回避策として、以下の方法が提案されています。
・Fix it を導入する
・ユーザアカウント制御(UAC)を有効にする
・EMET5.0のAttack Surface Reduction 機能を使用する

【参考サイト】
　- Windows OLE の脆弱性により、リモートでコードが実行される (3011443)

・CVE-2014-6332
　- JVNVU#96617862 Microsoft Windows OLE ライブラリに任意のコード実行が可能な脆弱性
　- 複数の Microsoft 製品の OLE における任意のコードを実行される脆弱性
　- CVE-2014-6332

・CVE-2014-6352
　- マイクロソフトセキュリティアドバイザリ 3010060 Microsoft OLE の脆弱性により、リモートでコードが実行される
　- 2014年10月 Microsoft OLE の未修正の脆弱性に関する注意喚起
　- 更新：Microsoft Windows の脆弱性対策について(CVE-2014-6352)
　- CVE-2014-6352

【検証概要】(CVE-2014-6332)
脆弱性の存在するターゲットPCより、攻撃者が作成した細工された応答を返すサーバにアクセスすることで脆弱性を利用した攻撃を行い、攻撃者が用意した制御の誘導先のホストの指定ポートにコネクトバックさせ、結果、シェルを奪取するというものです。これにより、リモートからターゲットPCの操作が可能となります。

【検証ターゲットシステム】(CVE-2014-6332)
Windows 7 Enterprise SP1 日本語版
Internet Explorer10 日本語版

【検証イメージ】(CVE-2014-6332)

【検証結果】(CVE-2014-6332)
攻撃者が用意したWebサイトに、攻撃ターゲットPCからInterneExplorer使い、アクセスします。
下図の様に、Internet Explorer セキュリティのダイアログが表示されますが「許可する」ボタンを押すと、脆弱性コードが攻撃ターゲットPCにて実行されます。

下図は、攻撃後の誘導先のコンピュータ（Ubuntu）の画面です。黄線で囲まれている部分は、誘導先のコンピュータのホスト情報です。一方、赤線で囲まれている部分は、ターゲットPC（Windows 7）において、コマンドを実行した結果が表示されています。これにより、ターゲットPCの制御を奪うことに成功しました。

【検証概要】(CVE-2014-6352)
脆弱性が存在するシステムに添付ファイル付き電子メールを送信する等をして、細工を施したPowePointファイルをターゲットPCにて開きます。ターゲットPCは意図せず、攻撃者が用意した制御の誘導先ホストの指定ポートにコネクトバックするマルウェアをインストール・実行し、リモートからターゲットPCの制御が可能となります。

【検証ターゲットシステム】(CVE-2014-6352)
Windows 7 Enterprise SP1 日本語版
Office Professional Plus 2013 日本語版

【検証イメージ】(CVE-2014-6352)

【検証結果】(CVE-2014-6352)
下図は、ターゲットPC（Windows7）にて、細工したOLEオブジェクトを含むOfficeファイル(PowerPoint)ファイルを、ターゲットPC(Windows7)にて開いた時に出るダイアログです。Officeファイル(PowerPoint)ファイルを開くと、マルウェア(mal-CVE2014-6352.exe)の挙動を検知し、ユーザーアカウント制御のダイアログが表示されますが、「はい」を選択し、実行を許可すると、あらかじめ設定された任意のサーバのポートにコネクトバックします。

＊11/17追記：ターゲットPCにPythonがインストールされている場合は、この制限も回避が可能であることを確認しております。
（今回の検証対象の、Windows 7 Enterprise SP1 日本語版 , Office Professional Plus 2013 日本語版にて確認済）

下図は、攻撃後の誘導先のコンピュータ（Linux）のターミナルの画面です。
赤線で囲まれている部分は、誘導先のコンピュータのホスト情報です。一方、黄線で囲まれている部分は、ターゲットPC（Windows7）において、コマンドを実行した結果が表示されています。これにより、ターゲットPC(Windows7)の制御を奪うことに成功しました。

Category: exploit | コメントを受け付けていません