Internet Explorerのmshtml.dll存在するuse-after-freeの脆弱性により、 任意のコードが実行される脆弱性（CVE-2013-3893）に関する検証レポート

【概要】
Microsoft Internet Explorerに、リモートより任意のコードが実行される脆弱性（CVE-2013-3893）が発見されました。この脆弱性は、日本の複数の組織を攻撃目標としていることから最近話題となっている問題です。
この脆弱性はmshtml.dllモジュールに存在しており、オブジェクトが解放される際に、オブジェクトへのポインタを削除しないために発生します。これにより、Internet Explorerは不正なメモリアドレスを呼び出すよう強制されます。

攻撃者は、細工されたWebサイトを利用者に訪問させることにより、リモートからInternet Explorerを実行する利用者のユーザ権限で任意のコードを実行できる危険性があります。攻撃者は、細工されたWebサイトにユーザを誘導することや、細工されたWebサイトへのリンクを添付した電子メールを送信し、攻撃対象ユーザにファイルを開かせることで、ログオンしているユーザと同じ権限を奪取される危険性があります。

現時点（2013年10月1日）において、Microsoft社から脆弱性への対策、回避策などのアナウンスが公開されております。しかし、脆弱性に対応した修正するプログラムはリリースされておりません。システムへの影響が大きいことから、脆弱性の再現性について検証を行いました。

【影響を受ける可能性があるシステム】
■Internet Explorer 6
– Windows XP Service Pack 3
– Windows XP Professional x64 Edition Service Pack 2
– Windows Server 2003 Service Pack 2
– Windows Server 2003 x64 Edition Service Pack 2
– Windows Server 2003 with SP2 for Itanium-based Systems

■Internet Explorer 7
– Windows XP Service Pack 3
– Windows XP Professional x64 Edition Service Pack 2
– Windows Server 2003 Service Pack 2
– Windows Server 2003 x64 Edition Service Pack 2
– Windows Server 2003 with SP2 for Itanium-based Systems
– Windows Vista Service Pack 2
– Windows Vista x64 Edition Service Pack 2
– Windows Server 2008 for 32-bit Systems Service Pack 2
– Windows Server 2008 for x64-based Systems Service Pack 2
– Windows Server 2008 for Itanium-based Systems Service Pack 2

■Internet Explorer 8
– Windows XP Service Pack 3
– Windows XP Professional x64 Edition Service Pack 2
– Windows Server 2003 Service Pack 2
– Windows Server 2003 x64 Edition Service Pack 2
– Windows Server 2003 with SP2 for Itanium-based Systems
– Windows Vista Service Pack 2
– Windows Vista x64 Edition Service Pack 2
– Windows Server 2008 for 32-bit Systems Service Pack 2
– Windows Server 2008 for x64-based Systems Service Pack 2
– Windows 7 for 32-bit Systems Service Pack 1
– Windows 7 for x64-based Systems Service Pack 1
– Windows Server 2008 R2 for x64-based Systems Service Pack 1
– Windows Server 2008 R2 for Itanium-based Systems Service Pack 1

■Internet Explorer 9
– Windows Vista Service Pack 2
– Windows Vista x64 Edition Service Pack 2
– Windows Server 2008 for 32-bit Systems Service Pack 2
– Windows Server 2008 for x64-based Systems Service Pack 2
– Windows 7 for 32-bit Systems Service Pack 1
– Windows 7 for x64-based Systems Service Pack 1
– Windows Server 2008 R2 for x64-based Systems Service Pack 1

■Internet Explorer 10
– Windows 7 for 32-bit Systems Service Pack 1
– Windows 7 for x64-based Systems Service Pack 1
– Windows Server 2008 R2 for x64-based Systems Service Pack 1
– Windows 8 for 32-bit Systems
– Windows 8 for 64-bit Systems
– Windows Server 2012
– Windows RT

■Internet Explorer 11
– Windows 8.1 for 32-bit Systems
– Windows 8.1 for 64-bit Systems
– Windows Server 2012 R2
– Windows RT 8.1

【対策案】
この脆弱性は、このエントリー作成現在、修正プログラムがリリースされいないため暫定の回避策を行うことになります。Microsoft社では、回避策としてFix it ソリューションマイクロソフト セキュリティ アドバイザリ: Internet Explorer の脆弱性により、リモートでコードが実行されるの適用、またはEMETの導入、またはInternet Explorerのセキュリティゾーンを「高」とする、を推奨しています。これらの詳細については、マイクロソフト セキュリティ アドバイザリ (2887505)の[推奨するアクション] [回避策]をご覧ください。

【参考サイト】
CVE-2013-3893

マイクロソフト セキュリティ アドバイザリ (2887505)
Internet Explorer の脆弱性により、リモートでコードが実行される

Internet Explorer の脆弱性対策について(CVE-2013-3893)

【検証イメージ】

【検証ターゲットシステム】
Windows 7 SP1上のInternet Explorer 9、およびOffice 2007

【検証概要】
脆弱性の存在するターゲットPCより、攻撃者が作成した細工された応答を返すサーバにアクセスすることで脆弱性を利用した攻撃を行い、任意のサーバの任意のポートにコネクトバックさせ、結果、シェルを奪取するというものです。
これにより、リモートからターゲットPCの操作が可能となります。

【検証結果】
下図は、攻撃後の誘導先のコンピュータ（MacOS X）の画面です。黄線で囲まれている部分は、誘導先のコンピュータです。一方、赤線で囲まれている部分は、ターゲットPC（Windows 7）において、コマンドを実行した結果が表示されています。
これにより、ターゲットPCの制御を奪うことに成功しました。

special thx:
y.izumita