Internet Explorerの脆弱性により、任意のコードが実行される脆弱性（CVE-2014-0322）に関する検証レポート

【概要】
Microsoft Internet Explorerに、リモートより任意のコードが実行される脆弱性（CVE-2014-0322）が発見されました。この脆弱性は、日本国内でも悪用された事例があります。
この脆弱性は、CMarkupコンポーネントの処理に不備が存在しており、解放済みメモリ使用の問題が発生することです。これにより、攻撃者は任意のコードをメモリへ上書きし、実行させることが可能となります。

攻撃者は、細工されたWebサイトを利用者に訪問させることにより、リモートからInternet Explorerを実行する利用者のユーザ権限で任意のコードを実行できる危険性があります。攻撃者は、ブラウザ経由で細工されたWebサイトにユーザを誘導することや、細工されたWebサイトへのリンクを添付した電子メールを送信し、攻撃対象ユーザにファイルを開かせることで、ログオンしているユーザと同じ権限を奪取される危険性があります。

本レポート作成（2014年4月17日）時点において、Microsoft社より2014年3月12日に脆弱性の修正プログラムがリリースされております。しかしながら、攻撃を成立させるためのコードが容易に入手可能であり、かつ脆弱性に対する攻撃が容易であること、また攻撃を受けた際にシステムへの影響が大きいことから、今回、この脆弱性（CVE-2014-0322）の再現性について検証を行いました。

【影響を受ける可能性があるシステム】
■Internet Explorer 9
– Windows Vista Service Pack 2
– Windows Vista x64 Edition Service Pack 2
– Windows Server 2008 for 32-bit Systems Service Pack 2
– Windows Server 2008 for x64-based Systems Service Pack 2
– Windows 7 for 32-bit Systems Service Pack 1
– Windows 7 for x64-based Systems Service Pack 1
– Windows Server 2008 R2 for x64-based Systems Service Pack 1

■Internet Explorer 10
– Windows 7 for 32-bit Systems Service Pack 1
– Windows 7 for x64-based Systems Service Pack 1
– Windows Server 2008 R2 for x64-based Systems Service Pack 1
– Windows 8 for 32-bit Systems
– Windows 8 for 64-bit Systems
– Windows Server 2012
– Windows RT

【対策案】
Microsoft社より、この脆弱性を修正するプログラム（MS14-012）がリリースされています。
当該脆弱性が修正された修正プログラムを適用していただくことを推奨いたします。

【参考サイト】
CVE-2014-0322

マイクロソフト セキュリティ情報 MS14-012 – 緊急
Internet Explorer 用の累積的なセキュリティ更新プログラム

「はとバス」「ヤマレコ」のサイト改ざん、IEへのゼロデイ攻撃を仕込まれていた可能性

【検証イメージ】

【検証ターゲットシステム】
Windows 7 SP1+Internet Explorer 10

【検証概要】
脆弱性の存在するターゲットPCより、攻撃者が作成した細工された応答を返すサーバにアクセスすることで脆弱性を利用した攻撃を行い、任意のサーバの任意のポートにコネクトバックさせ、結果、シェルを奪取するというものです。
これにより、リモートからターゲットPCの操作が可能となります。

【検証結果】
下図は、攻撃後の誘導先のコンピュータ（MacOS X）の画面です。黄線で囲まれている部分は、誘導先のコンピュータのホスト情報です。一方、赤線で囲まれている部分は、ターゲットPC（Windows 7）において、コマンドを実行した結果が表示されています。
これにより、ターゲットPCの制御を奪うことに成功しました。

reported by y.izumita, ntsuji