4月 10

Microsoft Word および Office Web Apps のrtfファイル処理の不備により、 任意のコードが実行される脆弱性(CVE-2014-1761)に関する検証レポート

 

【概要】
Microsoft Word および Office Web Apps に、rtfファイルの処理の不備により、リモートより任意のコードが実行される脆弱性(CVE-2014-1761)が発見されました。
この脆弱性は、Microsoft Wordが特別に細工されたrtfファイルを処理する際に、メモリ内の値を正しく処理しないために発生します。

*rtf(Rich Text Format):
文書ファイル形式のひとつで、文字の色や大きさ、レイアウトが保存され、比較的簡易なワープロソフトのデータとして定義されている。

攻撃者がこの脆弱性を利用した場合、実行時のユーザ権限にて任意のコードが実行可能です。
システムメモリが破損する可能性もあり、ユーザが管理者権限であれば、システムの完全な掌握が可能となります。

攻撃者は、細工したrtfファイルが含まれるWebサイトに、攻撃対象ユーザーを誘導し、rtfファイルを開かせたり、細工したrtfファイルを添付した電子メールを送信し、攻撃対象ユーザにファイルを開かせるか、プレビュー表示させることにより、この脆弱性を利用した攻撃が可能となります。
また、Microsoft Wordは、Outlook 2007、Outlook 2010、Outlook 2013の初期設定において、電子メールビューアとなっているため、注意が必要です。

今回、Microsoft Word および Office Web Apps のrtfファイル処理の不備により、任意のコードが実行される脆弱性(CVE-2014-1761)の再現性について検証を行いました。

【影響を受ける可能性があるシステム】
– Microsoft Office 2003 Service Pack 3
– Microsoft Office 2007 Service Pack 3
– Microsoft Office 2010 Service Pack 1 (32 ビット版)
– Microsoft Office 2010 Service Pack 2 (32 ビット版)
– Microsoft Office 2010 Service Pack 1 (64 ビット版)
– Microsoft Office 2010 Service Pack 2 (64 ビット版)
– Microsoft Office 2013 (32 ビット版)
– Microsoft Office 2013 Service Pack 1 (32 ビット版)
– Microsoft Office 2013 (64 ビット版)
– Microsoft Office 2013 Service Pack 1 (64 ビット版)
– Microsoft Office 2013 RT
– Microsoft Office 2013 RT Service Pack 1
– Microsoft Office for Mac 2011
– Microsoft Word Viewer
– Microsoft Office 互換機能パック Service Pack 3
– Microsoft SharePoint Server 2010 Service Pack 1
– Microsoft SharePoint Server 2010 Service Pack 2
– Microsoft SharePoint Server 2013
– Microsoft SharePoint Server 2013 Service Pack 1
– Microsoft Office Web Apps 2010 Service Pack 1
– Microsoft Office Web Apps 2010 Service Pack 2
– Microsoft Office Web Apps 2013
– Microsoft Office Web Apps 2013 Service Pack 1

【対策案】
Microsoft社より、この脆弱性を修正するプログラム(MS14-017)がリリースされています。
当該脆弱性が修正された修正プログラムを適用していただくことを推奨いたします。

また、修正プログラムを適用しない場合の回避策として、以下の方法が提供されています。
・Fix itを適用する
・EMETをインストールする
・rtfファイル開封の無効化設定をする

【参考サイト】
マイクロソフト セキュリティ情報 MS14-017 – 緊急 : Microsoft Word および Office Web Apps の脆弱性により、リモートでコードが実行される (2949660)
CVE-2014-1761
JVNDB-2014-001794 – JVN iPedia – 脆弱性対策情報データベース
セキュリティ アドバイザリ 2953095「Microsoft Word の脆弱性により、リモートでコードが実行される」を公開 – 日本のセキュリティチーム – Site Home – TechNet Blogs

【検証イメージ】
画像元

 

 

 

 

 

 

【検証ターゲットシステム】
Windows 7 SP1 英語版
Office Professional Plus 2010 英語版 SP2

*2014/4/11追記:以下の環境にて、攻撃コードの実行が可能であること確認しました。
Windows7 SP1 日本語版
Office Professional Plus 2010 日本語版 SP2

【検証概要】
攻撃者は、自らが落成したrtfファイルをターゲットPCにて開かせます。ターゲットPCは意図せず、任意のサーバのポートにコネクトバックされ、攻撃者は、ターゲットPCのシェルを奪取するというものです。
これにより、リモートからターゲットPCの操作が可能となります。

【検証結果】
下図は、攻撃後の誘導先のコンピュータ(Linux)のターミナルの画面です。
赤線で囲まれている部分は、誘導先のコンピュータのホスト情報です。一方、黄線で囲まれている部分は、ターゲットPC(Windows7)において、コマンドを実行した結果が表示されています。
これにより、ターゲットPCの制御を奪うことに成功しました。

attack01_jp_final

reported by nao323, ntsuji



Copyright 2017. All rights reserved.

Posted 2014年4月10日 by nao323 in category "exploit