(n)

【概要】
Microsoft WindowsのKerberos認証に、リモートから任意のドメインアカウントへ権限昇格を行える脆弱性（CVE-2014-6324）が発見されました。この脆弱性は、Kerberos認証のチケットの署名に対する検証処理に問題があるため、署名に細工をすることによりドメインの特権ユーザーへ昇格することが可能です。

攻撃者がこの脆弱性を利用するためには、ドメインへの有効なログオン情報が必要になります。攻撃者が何らかの方法でドメインユーザーのログオン情報を奪取できた場合、この脆弱性を利用することによりドメインの管理者権限を奪取される可能性があります。その結果、管理者権限でシステムを操作し、重要情報の改ざん、窃取されてしまうといった危険性があります。

本レポート作成（2014年12月10日）時点において、既にMicrosoft社より2014年11月19日に脆弱性の修正プログラムがリリースされております。しかしながら、攻撃を成立させるためのコードが容易に入手可能であり、かつ攻撃を受けた際にシステムへの影響が大きいことから、今回、このKerberos認証の脆弱性（CVE-2014-6324）の再現性について検証を行いました。

【影響を受ける可能性があるシステム】
– Windows Server 2003 Service Pack 2
– Windows Server 2003 x64 Edition Service Pack 2
– Windows Server 2003 with SP2 for Itanium-based Systems
– Windows Vista Service Pack 2
– Windows Vista x64 Edition Service Pack 2
– Windows Server 2008 for 32-bit Systems Service Pack 2（Server Coreインストールを含む）
– Windows Server 2008 for x64-based Systems Service Pack 2（Server Coreインストールを含む）
– Windows Server 2008 for Itanium-based Systems Service Pack 2
– Windows 7 for 32-bit Systems Service Pack 1
– Windows 7 for x64-based Systems Service Pack 1
– Windows Server 2008 R2 for x64-based Systems Service Pack 1（Server Coreインストールを含む）
– Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
– Windows 8 for 32-bit Systems
– Windows 8 for x64-based Systems
– Windows 8.1 for 32-bit Systems
– Windows 8.1 for x64-based Systems
– Windows Server 2012（Server Coreインストールを含む）
– Windows Server 2012 R2（Server Coreインストールを含む）

【対策案】
Microsoft社より、この脆弱性を修正するプログラム（MS14-068）がリリースされています。
当該脆弱性が修正された修正プログラムを適用していただくことを推奨いたします。

【参考サイト】
CVE-2014-6324

マイクロソフト セキュリティ情報 MS14-068 – 緊急 Kerberos の脆弱性により特権が昇格される (3011780)

Additional information about CVE-2014-6324

【検証イメージ】

【検証ターゲットシステム】
Windows Server 2008 R2 SP1

【検証概要】
ドメインに所属するクライアントへローカルの一般ユーザーでログオンした後、検証用のドメインユーザー（Domain Usersグループのアカウント）のKerberosチケットを取得します。このチケットに細工、利用しターゲットへアクセスすることで、ターゲット上にて特権で任意の操作が実行可能になるというものです。

【検証結果】
図①は、今回の検証においてターゲットシステムのコンソール画面で、ログオンしているドメインユーザーの権限を表示しています。このユーザーのチケットを取得します。

[図①]

図②は、ドメインに所属するクライアントのコンソール画面で、ログオンセッションのチケットの情報と、ログオンしているユーザーの権限を表示しています。クライアント上での操作はこのユーザーで実行しています。

[図②]

ターゲットシステムでは「dctest」ユーザーを表示しており、「Domain Users」に所属しています。クライアントでは「test」ユーザーを表示しており、ローカル（evl7）の「Users」に所属しています。

以下より検証結果を記載します。以下の図③から図⑥はMS14-068の修正プログラムを適用する前、一方で図⑦は修正プログラムを適用した後の検証結果です。

■MS14-068適用前■
図③はドメインに所属するクライアント（Windows 7）のターミナル画面です。攻撃コードを含むスクリプトを実行することにより、ドメイン「2008R2AD.testdomain」のユーザー「dctest」のKerberosチケットに対して、ドメインの特権を付与する細工を行います。

[図③]

図④は、③のチケットを現在のセッションに取り込みを行ったところです。この際、このチケットのユーザー名は「dctest」であることが分かります。

[図④]

図⑤は、現在のセッションのチケットの情報を表示しています。このチケットを用いてターゲット（Windows Server 2008 R2）に対してnet useによる接続を試みたところです。Domain Users権限ではアクセスできないリソースである「\\<ターゲット>\c$」を、認証なしでzドライブとしてマウントできました。

[図⑤]

図⑥は、チケットを使いターゲットのシェルを取得したところです。取得したシェルの実行権限を確認したところ、Domain Users権限のみ与えられているはずの「dctest」ユーザーに、「Domain Admins」や「Administrators」などの権限が付与されています。このことから、この脆弱性を持つドメインコントローラーは、細工されたチケットを検証できていないことが確認できます。

[図⑥]

なお、WindowsのKerberos認証では、TGTチケットにはデフォルトで10時間の有効期限が設定されています。
この期限内では、TGTチケットを取得されたユーザーのパスワードを変更しても、攻撃者はログオンすることが可能です。

■MS14-068適用後■
図③から図④までと同じ手順で進めた後、図⑦では、現在のセッションにチケットがキャッシュされていることを確認しています。

次に、修正プログラム適用前の検証と同様にチケットを用いてターゲット（Windows Server 2008 R2）に対してnet useによる接続を試みていますが、MS14-068を適用した後は適用前と挙動が異なり、ドメインのリソースへのアクセスに認証が求められるようになります。脆弱性を修正するプログラム適用後は、細工されたチケットを用いてドメインのリソースにアクセスできなくなっていることが分かります。この脆弱性の修正プログラム（MS14-068）を適用していただくことにより、ドメインコントローラーはチケットを検証するようになったことが確認されました。

[図⑦]

■イベントログへの記録■
MS14-068を未適用の場合で特権の昇格の攻撃が成功した場合、WindowsのシステムログID4672を確認することにより、不審な挙動を検出することが出来ます。脆弱性を利用したリクエストが行われた場合、ログオンユーザーに対して特権が与えられるログが記録されます。以下の例ではDomain Users権限である「dctest」に対して特権が与えられていることが確認できます。

このログを取得するためには、グループポリシーの管理から使用しているポリシーを選択し、以下の設定を行います。

MS14-068を適用済みの場合、WindowsのシステムログID4769を確認することにより、細工されたチケットを用いた特権のリクエストを検出することが出来ます。以下の例ではdctestユーザーとしての特権のリクエストを却下したことが確認できます。

このログを取得するためには、グループポリシーの管理から使用しているポリシーを選択し、以下の設定を行います。

【変更履歴】
（12/11）　修正プログラム適用前と適用後の比較に変更しました。
（12/14）　検証イメージを修正しました。
（12/15）　検証結果の内容を追記しました。
（12/17）　イベントログへの記録を追記しました。

reported by y.izumita, ntsuji

【概要】
Linuxカーネルに、システムにログイン可能な一般ユーザーが権限昇格を行える脆弱性（CVE-2014-3153）の攻撃方法が発見されました。この脆弱性は過去にAndroidのroot化を行う目的で利用されていた実績のある脆弱性です。
この脆弱性はkernelのfutexサブシステムの処理に不備が存在しており、悪意のあるローカルユーザーが細工したfutexシステムコールを送信することでリング0の制御を奪取することが可能です。

【※上記説明文章の参考ページ】

Linux kernel futex local privilege escalation

Debian セキュリティ勧告

本レポート作成（2014年11月27日）時点において、The Linux Kernel Archiveより2014年6月7日に脆弱性を修正するバージョンのカーネルがリリースされていることが確認できております。しかしながら、攻撃を成立させるためのコードが容易に入手可能であり、かつ脆弱性に対する攻撃が容易であること、また攻撃を受けた際にシステムへの影響が大きいことから、今回、この脆弱性（CVE-2014-3153）の再現性について検証を行いました。

【影響を受ける可能性があるシステム】
– Linux Kernel 3.14.5よりも以前のバージョン

現在利用されているシステムのカーネルバージョンは、以下のコマンドを実行することにより確認が可能です。

uname -r

【対策案】
この脆弱性を修正するバージョンのカーネル（3.14.6）がリリースされています。
またRedhat Enterprise Linuxの場合、6系ならばkernel-2.6.32-431.20.3.el6以降のパッケージで、7系ならばkernel-3.10.0-123.4.2.el7以降のパッケージでこの問題が修正されています。
当該脆弱性が修正されたカーネルにアップデートしていただくことを推奨いたします。

なお、この脆弱性を利用するためには、システムにログインできることが前提です。そのため、運用上カーネルのアップデートを実施できない場合は、システムに登録されているユーザーのパスワードを強固にしていただくこと、またシステムへのアクセス可能な経路を必要最低限に制限していただくことにより、攻撃を受ける可能性を低減することが可能です。
しかしながら、正規のユーザーによりこの脆弱性を利用された場合は、上記の対策は回避策とはなりません。よって、根本的に問題を解決していただくため、カーネルのバージョンアップを実施していただくことが推奨されます。

【参考サイト】
CVE-2014-3153

JVNDB-2014-002785 Linux Kernel の kernel/futex.c の futex_requeue 関数における権限を取得される脆弱性

Kernel ChangeLog-3.14.6

【検証イメージ】

【検証ターゲットシステム】
CentOS 7.0.1406

【検証概要】
脆弱性の存在するターゲットに一般ユーザーでログイン後、攻撃者が作成した細工されたコードを実行することにより権限昇格を行い、結果root権限を奪取するというものです。
これにより、ターゲットで全権の操作が可能となります。

【検証結果】
下図は、ターゲットシステム（CentOS）の画面です。黄線で囲まれている部分は、細工されたコードを実行する前のカーネル情報および一般ユーザーを示すID情報が表示されています。一方、赤線で囲まれている部分は、細工されたコードを実行した後の画面で、rootユーザーのID情報が表示されています。
これにより、ターゲットシステムで権限昇格を行うことに成功しました。

reported by y.izumita, ntsuji

【概要】
Windows OLE*に複数の脆弱性があるため、リモートより任意のコードが実行される脆弱性が発見されました。

*OLE(Object Linking and Embedding)：
複数のデータや機能が含まれた複合データを、一つのアプリケーションで編集を可能とするテクノロジです。例えば、これによりWordに埋め込まれたExcelスプレッドシートをExcelを起動せずに、Word上で編集することが可能となります。

上記の脆弱性により、２種類の脆弱性(CVE-2014-6332とCVE2014-6352)が公開されています。

・CVE-2014-6332について
Windows OLEのOleAut32.dllライブラリがSAFEARRAY オブジェクトのサイズのエラーを検証する際の処理に不具合があるため、Internet Explorer Enhanced Protected Mode (EPM) サンドボックスや Enhanced Mitigation Experience Toolkit (EMET) をバイパスすることが可能です。このため、攻撃者はVBScriptを使用して細工したWebページに、攻撃対象者を誘導することにより、攻撃対象者のInternet Explorerを実行している権限を奪うことが可能となります。

・CVE-2014-6352について
攻撃者は、細工したOLEオブジェクトを含むOfficeファイルを作成し、そのファイルが含まれるサイトに攻撃対象者を誘導しファイルを開かせたり、電子メールにファイルを添付して送信し攻撃対象者に開かせる等の行為により、攻撃対象者がファイルを開いた際の実行権限にて任意のコードを実行することが可能です。

今回、Microsoftが提供している更新プログラム(MS14-064)の修正対象となっている、二つの脆弱性（CVE-2014-6332とCVE-2014-6352)について検証を行いました。

【影響を受ける可能性があるシステム】
・CVE-2014-6332
　- Windows Server 2003 Service Pack 2
　- Windows Server 2003 x 64 Edition Service Pack 2
　- Windows Server 2003 with SP2 for Itanium-based Systems
　- Windows Vista Service Pack 2
　- Windows Vista x64 Edition Service Pack 2
　- Windows Server 2008 for 32-bit Systems Service Pack 2
　- Windows Server 2008 for x64-based Systems Service Pack 2
　- Windows Server 2008 for Itanium-based Systems Service Pack 2
　- Windows 7 for 32-bit Systems Service Pack 1
　- Windows 7 for x64-based Systems Service Pack 1
　- Windows Server 2008 R2 for x64-based Systems Service Pack 1
　- Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
　- Windows 8 for 32-bit Systems
　- Windows 8 for x64-based Systems
　- Windows 8.1 for 32-bit Systems
　- Windows 8.1 for x64-based Systems
　- Windows Server 2012
　- Windows Server 2012 R2
　- Windows RT
　- Windows RT 8.1
　- Windows Server 2008 for 32-bit Systems Service Pack 2(Server Core インストール)
　- Windows Server 2008 for x64-based Systems Service Pack 2(Server Core インストール)
　- Windows Server 2008 R2 for x64-based Systems Service Pack 1(Server Core インストール)
　- Windows Server 2012(Server Core インストール)
　- Windows Server 2012 R2(Server Core インストール)

・CVE-2014-6352
　- Windows Vista Service Pack 2
　- Windows Vista x64 Edition Service Pack 2
　- Windows Server 2008 for 32-bit Systems Service Pack 2
　- Windows Server 2008 for x64-based Systems Service Pack 2
　- Windows Server 2008 for Itanium-based Systems Service Pack 2
　- Windows 7 for 32-bit Systems Service Pack 1
　- Windows 7 for x64-based Systems Service Pack 1
　- Windows Server 2008 R2 for x64-based Systems Service Pack 1
　- Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
　- Windows 8 for 32-bit Systems
　- Windows 8 for x64-based Systems
　- Windows 8.1 for 32-bit Systems
　- Windows 8.1 for x64-based Systems
　- Windows Server 2012
　- Windows Server 2012 R2
　- Windows RT
　- Windows RT 8.1

【対策案】
Microsoft社より、この脆弱性を修正する更新プログラム（MS14-064）がリリースされています。
当該脆弱性を修正する更新プログラムを適用していただくことを推奨いたします。

CVE-2014-6332の脆弱性については、回避策は確認されておりません。上記の更新プログラム（MS14-064)の適用を推奨します。

CVE-2014-6352の脆弱性については、更新プログラムを適用しない場合の回避策として、以下の方法が提案されています。
・Fix it を導入する
・ユーザアカウント制御(UAC)を有効にする
・EMET5.0のAttack Surface Reduction 機能を使用する

【参考サイト】
　- Windows OLE の脆弱性により、リモートでコードが実行される (3011443)

・CVE-2014-6332
　- JVNVU#96617862 Microsoft Windows OLE ライブラリに任意のコード実行が可能な脆弱性
　- 複数の Microsoft 製品の OLE における任意のコードを実行される脆弱性
　- CVE-2014-6332

・CVE-2014-6352
　- マイクロソフト セキュリティ アドバイザリ 3010060 Microsoft OLE の脆弱性により、リモートでコードが実行される
　- 2014年10月 Microsoft OLE の未修正の脆弱性に関する注意喚起
　- 更新：Microsoft Windows の脆弱性対策について(CVE-2014-6352)
　- CVE-2014-6352

【検証概要】(CVE-2014-6332)
脆弱性の存在するターゲットPCより、攻撃者が作成した細工された応答を返すサーバにアクセスすることで脆弱性を利用した攻撃を行い、攻撃者が用意した制御の誘導先のホストの指定ポートにコネクトバックさせ、結果、シェルを奪取するというものです。これにより、リモートからターゲットPCの操作が可能となります。

【検証ターゲットシステム】(CVE-2014-6332)
Windows 7 Enterprise SP1 日本語版
Internet Explorer10 日本語版

【検証イメージ】(CVE-2014-6332)

【検証結果】(CVE-2014-6332)
攻撃者が用意したWebサイトに、攻撃ターゲットPCからInterneExplorer使い、アクセスします。
下図の様に、Internet Explorer セキュリティのダイアログが表示されますが「許可する」ボタンを押すと、脆弱性コードが攻撃ターゲットPCにて実行されます。

下図は、攻撃後の誘導先のコンピュータ（Ubuntu）の画面です。黄線で囲まれている部分は、誘導先のコンピュータのホスト情報です。一方、赤線で囲まれている部分は、ターゲットPC（Windows 7）において、コマンドを実行した結果が表示されています。これにより、ターゲットPCの制御を奪うことに成功しました。

【検証概要】(CVE-2014-6352)
脆弱性が存在するシステムに添付ファイル付き電子メールを送信する等をして、細工を施したPowePointファイルをターゲットPCにて開きます。ターゲットPCは意図せず、攻撃者が用意した制御の誘導先ホストの指定ポートにコネクトバックするマルウェアをインストール・実行し、リモートからターゲットPCの制御が可能となります。

【検証ターゲットシステム】(CVE-2014-6352)
Windows 7 Enterprise SP1 日本語版
Office Professional Plus 2013 日本語版

【検証イメージ】(CVE-2014-6352)

【検証結果】(CVE-2014-6352)
下図は、ターゲットPC（Windows7）にて、細工したOLEオブジェクトを含むOfficeファイル(PowerPoint)ファイルを、ターゲットPC(Windows7)にて開いた時に出るダイアログです。Officeファイル(PowerPoint)ファイルを開くと、マルウェア(mal-CVE2014-6352.exe)の挙動を検知し、ユーザーアカウント制御のダイアログが表示されますが、「はい」を選択し、実行を許可すると、あらかじめ設定された任意のサーバのポートにコネクトバックします。

＊11/17追記：ターゲットPCにPythonがインストールされている場合は、この制限も回避が可能であることを確認しております。
（今回の検証対象の、Windows 7 Enterprise SP1 日本語版 , Office Professional Plus 2013 日本語版 にて確認済）

下図は、攻撃後の誘導先のコンピュータ（Linux）のターミナルの画面です。
赤線で囲まれている部分は、誘導先のコンピュータのホスト情報です。一方、黄線で囲まれている部分は、ターゲットPC（Windows7）において、コマンドを実行した結果が表示されています。これにより、ターゲットPC(Windows7)の制御を奪うことに成功しました。

【概要】
リモートのファイル取得を行うツールGNU Wget（以下、Wget）に、任意のファイルの作成や上書きなどの操作が実行される脆弱性(CVE-2014-4877)が発見されました。これは、Wgetが再帰的にファイルをダウンロードした際の、シンボリックリンクファイルの処理に不具合が存在するためです。

これにより、攻撃者は細工したシンボリックリンクファイルをターゲットPCにダウンロードさせることにより、任意のファイルの作成や上書きが実行可能となります。
今回、Wgetの再帰的にダウンロードする機能の不具合により、任意のファイルの作成や上書きが実行される脆弱性(CVE-2014-4877)の再現性について検証を行いました。

【影響を受ける可能性があるシステム】
– GNU Wget 1.16未満のバージョン

【対策案】
GNU Wget プロジェクトよりこの脆弱性を修正するプログラムがリリースされています。当該脆弱性への対応を含む最新バージョンへとバージョンアップしていただくことを推奨します。
回避策としては、ローカル側にシンボリックリンクを作成しない設定項目であるretr_symlinksオプションを有効にするという方法があります。

【参考サイト】
GNU Wget – ニュース: GNU wget 1.16 released [Savannah]
CVE-2014-4877
JVNVU#98581917: GNU Wget にシンボリックリンクの扱いに関する問題

【検証概要】
ターゲットPCより管理者権限にて脆弱性の存在するWgetコマンドを実行し、攻撃者が設置したFTPサーバへ接続します。攻撃者が細工したファイルがWgetを実行した権限にて、任意の場所にダウンロードされます。
今回の検証では、攻撃者側サーバの任意のポートにコネクトバックさせる様に細工したファイルを用意しました。ターゲットPCがこれをWgetコマンドにてダウンロードした結果、管理者権限のシェルを奪取できました。これによりリモートからターゲットPCのシステムの完全なアクセスが可能となります。

【検証ターゲットシステム】
Ubuntu Linux 14.04 LTS
Wget 1.15

【検証イメージ】

【検証結果】
下図は、ターゲットPCから、攻撃者が設置したFTPサーバへアクセスしている画面です。
赤線の部分でファイルのダウンロードを実行しています。

下図は、攻撃後の誘導先のコンピュータ（Kali Linux）の画面です。黄線で囲まれている部分は、誘導先のコンピュータのホスト情報です。一方、赤線で囲まれている部分は、ターゲットPC（Ubuntu Linux）において、コマンドを実行した結果が表示されています。これにより、ターゲットPCの制御を奪うことに成功しました。

 
reported by nao323, ntsuji

【概要】
Microsoft Windowsに、OLEオブジェクト*が含まれるOfficeファイル（以下、OLEファイル）を開いた際に、リモートより任意のコードが実行される脆弱性（CVE-2014-4114）が発見されました。

*OLE(Object Linking and Embedding)：
複数のデータや機能が含まれた複合データを、一つのアプリケーションで編集を可能とするテクノロジです。例えば、これによりWordに埋め込まれたExcelスプレッドシートをExcelを起動せずに、Word上で編集することが可能となります。

OLEは通常、内部に保存されているコンテンツを埋め込むために使用されるテクノロジですが、この脆弱性を利用し、細工したOLEファイルを攻撃対象に開かせることにより、外部に存在するファイルをダウンロードしてインストールさせ、そのファイルを開いたときのユーザー権限にて任意のコードが実行可能です。ファイルを開いたユーザが管理者権限であれば、システムの完全な掌握が可能となります。
攻撃者は、細工したOLEファイルが含まれるWebサイトに、攻撃対象ユーザーを誘導し、そのファイルを開かせたり、細工したOLEファイルを添付した電子メールを送信し、攻撃対象ユーザーにファイルを開かせることにより、この脆弱性を利用した攻撃が可能となります。
現時点において、脆弱性の利用にはPowerPointファイル形式のものが報告されていますが、今後その脆弱性の性質から他のOfficeアプリケーション(WordやExcel等）ファイルが攻撃に利用される可能性があります。

実際の悪用シナリオや検体については、@piyokangoさんのブログがまとめてくださっておりますので参照いただくことを推奨いたします。

今回、Microsoft Windows のOLEオブジェクトが含まれるOfficeファイルの不具合により、リモートより任意のコードが実行される脆弱性(CVE-2014-4114)の再現性について検証を行いました。

【影響を受ける可能性があるシステム】
-Windows Vista Service Pack 2
-Windows Vista x64 Edition Service Pack 2
-Windows Server 2008 for 32-bit Systems Service Pack2
-Windows Server 2008 for x64-based Systems ServicePack 2
-Windows Server 2008 for Itanium-based Systems Service Pack 2
-Windows 7 for 32-bit Systems Service Pack 1
-Windows 7 for x64-based Systems Service Pack 1
-Windows Server 2008 R2 for x64-based Systems Service Pack 1
-Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
-Windows 8 for 32-bit Systems
-Windows 8 for x64-based Systems
-Windows 8.1 for 32-bit Systems
-Windows 8.1 for x64-based Systems
-Windows Server 2012
-Windows Server 2012 R2
-Windows RT
-Windows RT 8.1

【対策案】
Microsoft社より、この脆弱性を修正する更新プログラム（MS14-060）がリリースされています。
当該脆弱性を修正する更新プログラムを適用していただくことを推奨いたします。
また、更新プログラムを適用しない場合の回避策として、以下の方法が提案されています。
・WebClientサービスを無効化する
・TCP 139/445ポートを遮断する
・セットアップ情報ファイル(.inf)経由での実行ファイルの起動機能の停止

【参考サイト】
マイクロソフト セキュリティ情報 MS14-060 – 重要
CVE-2014-4114
Windows のゼロデイ脆弱性を悪用した Sandworm による標的型攻撃 | Symantec Connect
iSIGHT discovers zero-day vulnerability CVE-2014-4114 used in Russian cyber-espionage campaign – iSIGHT Partners (英文)

【検証イメージ】

【検証ターゲットシステム】
Windows 7 Enterprise SP1 日本語版
Office Professional Plus 2013 日本語版

【検証概要】
脆弱性が存在するシステムに添付ファイル付き電子メールを送信する等をして、細工を施したPowePointファイルをターゲットPCにて開きます。ターゲットPCは意図せず、任意のサーバのポートにコネクトバックするマルウェアをインストール・実行し、リモートからターゲットPCの制御が可能となります。

【検証結果】
下図は、ターゲットPC（Windows7）のデスクトップ画面です。
細工したOLEオブジェクトを含むOfficeファイル(PowerPoint)ファイルを、ターゲットPC(Windows7)にて開きます。その際、ターゲットPC(Windows7)から参照可能なリモートのネットワーク上の共有フォルダに、xxx.gifとxxx.infを配置しておきます。Officeファイル(PowerPoint)ファイルを開くと、xxx.gif（画像ファイル）になりすましたマルウェア(xxx.exe)が実行され、あらかじめ設定された任意のサーバのポートにコネクトバックします。

下図は、攻撃後の誘導先のコンピュータ（Linux）のターミナルの画面です。
赤線で囲まれている部分は、誘導先のコンピュータのホスト情報です。一方、黄線で囲まれている部分は、ターゲットPC（Windows7）において、コマンドを実行した結果が表示されています。
これにより、ターゲットPC(Windows7)の制御を奪うことに成功しました。

 
reported by nao323, ntsuji

【概要】
GNU Bash(以下、単にBash)にリモートより任意のコードが実行される脆弱性が発見されました。一連の脆弱性の愛称？は「Bashbug」または「Shellshock」のようです。

本脆弱性は、Bashの環境変数に関数を設定し同一の環境変数内に任意のコードを設定することで発生します。
攻撃者は、細工した環境変数を設定することにより、Bashを経由した環境で任意のコードが実行可能となります。

Bashを経由した環境での脆弱性の利用方法は、以下のような場合があります。
– ApacheなどWebサーバ上でCGIをBashから実行している場合にWebサーバの実行権限で任意のコードを実行
– DHCPサーバで環境変数に任意のコードを埋め込みDHCPクライアントに対してBashを経由して任意のコードを実行
– sshのForceCommand設定なでで使用可能なコマンドを制限している環境でログインユーザー権限で任意のコマンドを実行

このほかの例として、以下のURLでRedhat社の製品で影響を受ける環境の例が掲載されています。
Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271, CVE-2014-7169)

今回、この脆弱性（CVE-2014-6271,CVE-2014-7169）について検証を行いました。

【影響を受ける可能性があるシステム】
CVE-2014-7169
– Bash 4.3 Patch 25 およびそれ以前
– Bash 4.2 Patch 48 およびそれ以前
– Bash 4.1 Patch 12 およびそれ以前
– Bash 4.0 Patch 39 およびそれ以前
– Bash 3.2 Patch 52 およびそれ以前
– Bash 3.1 Patch 18 およびそれ以前
– Bash 3.0 Patch 17 およびそれ以前

CVE-2014-6271
– Bash 4.3 Patch 25 以前
– Bash 4.2 Patch 48 以前
– Bash 4.1 Patch 12 以前
– Bash 4.0 Patch 39 以前
– Bash 3.2 Patch 52 以前
– Bash 3.1 Patch 18 以前
– Bash 3.0 Patch 17 以前

なお、ディストリビュータごとに影響を受けるバージョンが異なります。詳細は各ディストリビュータの脆弱性情報を参照ください。また、LinuxなどのOSをベースとしたネットワーク機器を含めた専用機器においても関連する脆弱性情報が発表されています。使用されている各機器のセキュリティ情報を収集されることを推奨いたします。

すでに、CiscoやF5のような利用者が多いと考えられる機器について各ベンダーから情報が公開されています。
GNU Bash Environmental Variable Command Injection Vulnerability
SOL15629: GNU Bash vulnerabilities CVE-2014-6271 and CVE-2014-7169

【対策案】
CVE-2014-6271については以下のバージョンで修正されています。
– Bash 4.3 Patch 25
– Bash 4.2 Patch 48
– Bash 4.1 Patch 12
– Bash 4.0 Patch 39
– Bash 3.2 Patch 52
– Bash 3.1 Patch 18
– Bash 3.0 Patch 17

CVE-2014-7169については、本レポート作成時点（2014年9月26日）において修正されておりません。各ディストリビュータによって独自のパッチを提供しています。詳細は@piyokangoさんのブログがまとめてくださっておりますので参照いただくことを推奨いたします。

回避策については、【概要】で紹介したRedhat社のページのように
– mod_securityによる回避
– iptablesによる回避
などの方法が考えられます。

【参考サイト】
CVE-2014-6271
CVE-2014-7169
JPCERT/CC Alert 2014-09-25 GNU bash の脆弱性に関する注意喚起
bash の脆弱性対策について(CVE-2014-6271 等)
bashの脆弱性(CVE-2014-6271) #ShellShock の関連リンクをまとめてみた

【検証イメージ】

【検証ターゲットシステム】
– Cent0S 7 + Apache 2.4.61 + GNU bash, バージョン 4.2.45(1)-release-(x86_64-redhat-linux-gnu)
– Ubuntu Server 14.04.1 LTS
– Bash 4.3-7ubuntu1
– Apache 2.4.7-1ubuntu4.1

【検証概要】
脆弱性の存在するターゲットシステムに、攻撃者が実行したいコードを含めたHTTPリクエストを送ります。ターゲットシステム上ではコードが実行され、攻撃者に応答を返します。
これにより、リモートからターゲットPCの操作が可能となります。

【検証結果】
下図は実際にCGIを経由してコードを実行した画面です。黄色で囲まれた部分はUser-Agentに実行コードを埋め込んていることを示しています。赤色で囲まれた部分は実行結果を示しています。これにより、ターゲット上で任意のコードを実行することに成功しました。

【2014/09/28 oda 追記】
なお、上記のUbuntu上で実行しているテスト用のCGIは「#!/bin/bash」としてbashを明示的にbashを呼び出して実行しています。Ubuntu上のCGIで「#!/bin/sh」としてshを呼び出している場合は、通常dashへlinkされているため本脆弱性の影響を受けません。

【2014/09/28 ntsuji 追記】
以下のようにhttp経由で細工を施したブラウザでアクセスすることでWebサーバの権限を奪取することに成功しました。
これによりリモートから特定の権限で任意のコマンドが実行可能な状態になったと言えます。

また、細工したDHCPサーバを設置し、そのサーバにDHCPリクエストを行ってきたCentOSの制御を奪うことにも成功しました。奪取できる権限はDHCPリクエストを行った際の権限に依存します。

reported by oda, ntsuji