11月 29

ActiveXコントロールの処理の脆弱性により、任意のコードが実行される脆弱性(CVE-2013-3918)に関する検証レポート

【概要】
Microsoft ActiveXコントロールに、リモートより任意のコードが実行される脆弱性(CVE-2013-3918)が発見されました。
この脆弱性はActiveXコントロールのicardie.dllに存在しており、Internet Explorerが細工されたActiveXコントロールを読み込む際に、メモリの範囲外へアクセスすることにより発生します。これにより、Internet Explorerは不正なメモリアドレスを呼び出すよう強制されます。

攻撃者は、細工されたWebサイトを利用者に訪問させることにより、リモートからInternet Explorerを実行する利用者のユーザ権限で任意のコードを実行できる危険性があります。攻撃者は、ブラウザ経由で細工されたWebサイトにユーザを誘導することや、細工されたWebサイトへのリンクを添付した電子メールを送信し、攻撃対象ユーザにファイルを開かせることで、ログオンしているユーザと同じ権限を奪取される危険性があります。

現時点(2013年11月28日)において、検証に使用した攻撃コードは英語版のWindowsを対象としています。しかしながら今後、他の言語に対応した攻撃コードが出現する可能性は高いことから、脆弱性の再現性について検証を行いました。

【影響を受ける可能性があるシステム】
– Windows XP Service Pack 3
– Windows XP Professional x64 Edition Service Pack 2
– Windows Server 2003 Service Pack 2
– Windows Server 2003 x64 Edition Service Pack 2
– Windows Server 2003 with SP2 for Itanium-based Systems
– Windows Vista Service Pack 2
– Windows Vista x64 Edition Service Pack 2
– Windows Server 2008 for 32-bit Systems Service Pack 2
– Windows Server 2008 for x64-based Systems Service Pack 2
– Windows Server 2008 for Itanium-based Systems Service Pack 2
– Windows 7 for 32-bit Systems Service Pack 1
– Windows 7 for x64-based Systems Service Pack 1
– Windows Server 2008 R2 for x64-based Systems Service Pack 1
– Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
– Windows 8 for 32-bit Systems
– Windows 8 for x64-based Systems
– Windows 8.1 for 32-bit Systems
– Windows 8.1 for x64-based Systems
– Windows Server 2012
– Windows Server 2012 R2
– Windows RT
– Windows RT 8.1

【対策案】
Microsoft社より、この脆弱性を修正するプログラム(MS13-090)がリリースされています。
当該脆弱性が修正された修正プログラムを適用していただくことを推奨いたします。

【参考サイト】
CVE-2013-3918

マイクロソフト セキュリティ情報 MS13-090 – 緊急
ActiveX の Kill Bit の累積的なセキュリティ更新プログラム (2900986)

【検証イメージ】
P01_connectback

【検証ターゲットシステム】
Windows XP SP3 英語版

【検証概要】
脆弱性の存在するターゲットPCより、攻撃者が作成した細工された応答を返すサーバにアクセスすることで脆弱性を利用した攻撃を行い、任意のサーバの任意のポートにコネクトバックさせ、結果、シェルを奪取するというものです。
これにより、リモートからターゲットPCの操作が可能となります。

【検証結果】
下図は、攻撃後の誘導先のコンピュータ(MacOS X)の画面です。赤線で囲まれている部分は、誘導先のコンピュータのホスト情報です。一方、黄線で囲まれている部分は、ターゲットPC(Windows XP)において、コマンドを実行した結果が表示されています。
これにより、ターゲットPCの制御を奪うことに成功しました。

P02_MS13-090en_cut

reported by y.izumita, ntsuji


Copyright 2021. All rights reserved.

Posted 2013年11月29日 by y.izumita in category "exploit

About the Author

ね こ が す き