Windowsのndproxy.sysの脆弱性により、権限昇格が行える脆弱性（CVE-2013-5065）に関する検証レポート

【概要】
Microsoft WindowsXPまたは2003のndproxy.sysに、ローカルより権限昇格を行える脆弱性（CVE-2013-5065）が発見されました。この脆弱性は、ndproxy.sysドライバへの入力値に対する検証において、不備があることにより発生します。これにより、権限の低いユーザから権限昇格を行うことができ、その権限で任意のコードの実行が可能となります。

攻撃者がこの脆弱性を利用するためには、システムへの有効なログオン情報が必要になります。
攻撃者が何らかの方法でシステムの一般ユーザでのアクセス権を獲得した場合、この脆弱性を利用することで管理者権限も同時に掌握されます。その結果、管理者権限でシステムを操作し、重要情報の改ざん、窃取されてしまうといった危険性があります

本レポート作成（2013年12月20日）時点において、Microsoft社から脆弱性への対策、回避策などのアナウンスが公開されております。しかし、本脆弱性に対応した修正プログラムはリリースされておりません。この脆弱性はローカル環境で発現するものですが、攻撃を成立させるためのコードが容易に入手可能であり、かつ、すでに攻撃に利用されているとの報告もあるため、今回、この脆弱性の再現性について検証を行いました。

【影響を受ける可能性があるシステム】
– Windows XP Service Pack 3
– Windows XP Professional x64 Edition Service Pack 2
– Windows Server 2003 Service Pack 2
– Windows Server 2003 x64 Edition Service Pack 2
– Windows Server 2003 with SP2 for Itanium-based Systems

【対策案】
本レポート作成（2013年12月20日）時点において、Microsoft社から本脆弱性を修正するプログラムはリリースされておりません。
Microsoft社からndproxy.sysを無効化するという回避策が案内されております。

【参考サイト】
CVE-2013-5065

マイクロソフト セキュリティ アドバイザリ (2914486)
Microsoft Windows カーネルの脆弱性により、特権が昇格される

【検証イメージ】

【検証ターゲットシステム】
WindowsXP Professional SP3
Windows Server 2003 R2 SP2

【検証概要】
MS13-080を利用して、一般ユーザ権限（Users権限）を奪取した後、本脆弱性（CVE-2013-5065）を利用し、SYSTEM権限へと昇格を行うというものです。

【検証結果】
下図は、攻撃後の誘導先のコンピュータ（Linux）のターミナルの画面です。赤線で囲まれている部分は、ターゲットPC（WindowsXP Professional SP3）にMS13-080を利用し、Users権限を奪取しています。ここでは、User1（Users権限）で接続が行われています。一方、黄線で囲まれている部分は、本脆弱性を利用後の状態です。ここでは、SYSTEM権限で接続が行われています。これにより、権限昇格を行うことに成功したと言えます。

WindowsXPは2014年4月9日に、Windows Server 2003は2015年7月14日にMicrosoft社のサポートが終了します。

サポート終了後はこのような脆弱性が発見されたとしてもマイクロソフト社による修正は行なわれないため非常に危険な状態となる場合があります。特別な理由がない限り、新しいOSへの移行を行なっていただく事を推奨いたします。

reported by y.izumita, ntsuji