0x06 vulnerability2010. 12. 24. 15:26

Microsoft WMI Administrative Tools WBEMSingleView.ocx ActiveX control vulnerability




Overview
The ActiveX control, WBEMSingleView.ocx, that is a part of the WMI Administrative Tools package contains a vulnerability.


I. Description
The AddContextRef() and ReleaseContext() functions of the WMI Object Viewer control can be passed an object pointer from an attacker that results in arbitrary code execution. An Internet Explorer user with WBEMSingleView.ocx installed can be exploited by visiting a malicious web page.


II. Impact
An attacker can execute arbitrary code as the user.


III. Solution
We are currently unaware of a practical solution to this problem.

Disable the WMI Object Viewer ActiveX control in Internet Explorer

The vulnerable ActiveX control can be disabled in Internet Explorer by setting the kill bit for the following CLSID:

{2745E5F5-D234-11D0-847A-00C04FD7BB08}


More information about how to set the kill bit is available in Microsoft Support Document 240797. Alternatively, the following text can be saved as a .REG file and imported to set the kill bit for this control:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility{2745E5F5-D234-11D0-847A-00C04FD7BB08}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftInternet ExplorerActiveX Compatibility{2745E5F5-D234-11D0-847A-00C04FD7BB08}]
"Compatibility Flags"=dword:00000400

Disable ActiveX

Disabling ActiveX controls in the Internet Zone (or any zone used by an attacker) appears to prevent exploitation of this and other ActiveX vulnerabilities. Instructions for disabling ActiveX in the Internet Zone can be found in the “Securing Your Web Browser” document.


Vendor Information


References
http://www.cert.org/tech_tips/securing_browser/
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=6430f853-1120-48db-8cc5-f2abdc3ed314
http://support.microsoft.com/kb/240797
http://www.wooyun.org/bugs/wooyun-2010-01006
http://secunia.com/advisories/42693


Credit
This vulnerability was publicly disclosed on WooYun.org.
This document was written by Jared Allar.

Other Information
Date Public: 2010-12-22
Date First Published: 2010-12-22
Date Last Updated: 2010-12-22


 


Metasploit에 exploit이 뜨긴 했는데 테스트해 본 결과 잘 안되고 있습니다.
제가 뭔가 잘못하고 있는거겠죠? 삽질 좀 해야겠군요...-_-;;

일단 exploit이 떴으니 분석해보면 좋겠는데 오늘은 크리스마스 이브군요 ;)
게다가 내일은 마나님 생신이시니 오늘 저녁부터 즐겁게 놀아드려야 해서 주말 동안 분석을 할 수 있을지 미지수입니다.





http://www.wooyun.org/bugs/wooyun-2010-01006 에 있는 계산기(calc.exe)를 띄우는 PoC 코드는 정상적으로 동작하고 있습니다.




metasploit 코드 확인해봐야겠습니다.


저작자표시 비영리 변경금지
Posted by demantos
0x06 vulnerability2010. 11. 25. 11:10

Privilege escalation 0-day in almost all Windows versions



http://isc.sans.edu/diary.html?storyid=9988&rss
http://moonslab.com/1195
http://packetstormsecurity.org/files/96091
http://pastebin.com/ReCGfJSf

win32k.sys의 버퍼 오버플로우 발생시 UAC를 우회할 수 있는 취약점이라고 합니다.





시연 동영상 (thanks for 6l4ck3y3)






저작자표시 비영리 변경금지
Posted by demantos
0x06 vulnerability2010. 11. 11. 13:29

Adobe 다음 주에 Adobe Reader 'printSeps' 취약성 패치 예정


[출처: Symantec]
 
Adobe는 2010년 11월 8일(이하 GMT)에 짧은 블로그 업데이트를 통해, 이전에 언급된 바 있는 Adobe Reader 'printSeps' 취약성(CVE-2010-4091)을 패치할 계획이라고 밝혔습니다:
 
벤더는 2010년 11월 셋째 주에, 해당 취약성의 영향을 받는 제품들에 대한 업데이트를 발표할 예정입니다. 이 업데이트는 이전에 예정되었던 CVE-2010-3654로 등록된 다른 취약성에 대한 패치와 함께 발표될 것입니다 - 해당 취약성은 현재 패치되지 않았으며, Reader 및 Acrobat에 존재합니다.
 
자세한 정보는 다음을 확인하세요:
 
Potential issue in Adobe Reader
http://blogs.adobe.com/psirt/2010/11/potential-issue-in-adobe-reader.html


:: 위 취약점을 공격하는 악성코드 분석글 ::
full disclosure xpl.pdf Adobe Reader 9.4 poc - printSeps() / extraexploit
http://extraexploit.blogspot.com/2010/11/full-disclosure-xplpdf-adober-reader-94.html



분석해보고 싶으신 분들을 위한 서비스

저작자표시 비영리 변경금지
Posted by demantos
0x06 vulnerability2010. 11. 5. 14:47

CVE-2010-3962 IE 0-day 분석글/정보글 모음



More on the IE 0-day - Hupigon Joins The Party [FireEye Malware Intelligence Lab]
http://blog.fireeye.com/research/2010/11/ie-0-day-hupigon-joins-the-party.html


New IE Zero-Day used in Targeted Attacks [Symantec]
http://www.symantec.com/connect/blogs/new-ie-zero-day-used-targeted-attacks


CVE-2010-3962 - yet another Internet Explorer RCE [extraexploit]
http://extraexploit.blogspot.com/2010/11/cve-2010-3962-yet-another-internet.html


Microsoft Security Advisory (2458511)
http://www.microsoft.com/technet/security/advisory/2458511.mspx


Microsoft Internet Explorer 제로데이 취약점 : Invalid flag reference를 이용한 원격 코드 실행 [울지않는벌새]
http://hummingbird.tistory.com/2546




올해 MS 취약점 100개를 찍을듯한 기세군요..







저작자표시 비영리 변경금지
Posted by demantos
0x06 vulnerability2010. 9. 16. 08:44

Samba Buffer Overrun 취약점 (CVE-2010-3069)



[출처: Symantec]
 
Samba에 존재하는 원격 버퍼 오버플로우 취약성이 공개되었습니다. Samba 3.5.4 버전에 대해 해당 취약성에 대한 분석을 수행한 결과, 취약한 두 개의 주요 함수가 확인되었습니다. 이 함수들은 dom_sid_parse()와 sid_parse()며, 신뢰되지 않은 데이터에서 Windows Security ID (SID)를 파싱하도록 설계되었습니다.
 
sid_parse() 함수는 "sid->num_auths = CVAL(inbuf, 1);" 구문을 사용해 신뢰되지 않은 데이터에서 값을 읽어 온 후, 해당 값을 검사하지 않고 다음과 같은 for 루프의 제어 값으로 사용합니다:
 
for (i=0;i<sid->num_auths;i++)
sid->sub_auths[i] = IVAL(inbuf, 8+i*4);
 
CVAL 매크로는 버퍼에서 부호 없는 char를 읽은 후, 부호 있는 char "sid->num_auths"로 할당합니다. 이로 인해, 15만 저장하도록 의도된 버퍼에 총 127의 32비트 정수 값이 쓰여지게 할 수 있습니다. 이는, 취약한 버퍼의 근접 메모리를 손상시키는 데 이용될 수 있습니다. dom_sid_parse() 함수도 유사하게 취약합니다. SID를 포함한 데이터가 다수의 '-' 문자를 포함하도록 조작될 경우, num_sub_auths로 불리는 카운터가 증가할 수 있습니다:
 
num_sub_auths = 0;
for (i=0;sidstr[i];i++) {
if (sidstr[i] == '-') num_sub_auths++;
}
 
num_sub_auths가 sub_auths의 최대 값(15)보다 크지 않도록 하기 위한 아무런 경계 검사가 이루어지지 않기 때문에, 다음과 같은 for 루프가 메모리 손상을 발생시킬 수 있습니다:
 
for (i=0;i<num_sub_auths;i++) {
if (sidstr[0] != '-') {
return false;
}
sidstr++;
ret->sub_auths[i] = strtoul(sidstr, &p, 10);
if (p == sidstr) {
return false;
}
sidstr = p;
}
 
해당 취약성들을 이용하기 위한 어떤 공격 경로가 존재할지를 알아내기 위해 어느 정도의 시간을 투자한 후, 우선적으로는 해당 취약성은 SMB_COM_NT_TRANSACT (NT_TRANS) SMB 요청의 하위 명령 NT_TRANSACT_IOCTL을 통해 원격에서 이용할 수 있는 것으로 드러났습니다(이는, 정적 분석만을 통한 결과입니다). 하지만, 다수의 외부 보고서에 따르면, 이러한 메소드를 이용해 해당 취약성을 이용하는 것은 불가능하다고 합니다. 또 다른 공격 경로는 인증 정보를 필요로 하거나 악성 LDAP 서버를 사용해야 하는 것으로 보입니다. 이로 인해, 해당 취약성은 긴급한 위협으로 보이지는 않습니다. 하지만, 취약한 해당 함수에 대한 모든 경로에 대한 조사가 이루어진 것이 아니라는 것을 알아두어야 할 것입니다.
 
취약한 버전의 Samba를 실행 중인 사용자들은 가능한 빨리 벤더가 제공하는 패치를 적용할 것을 권장합니다. Samba 서버들에 대한 액세스가 제어되어야 할 것이며, 신뢰할 수 있는 사용자들에 대한 액세스만이 허용되어야 할 것입니다. 권한 분리 및 chroot jail과 같은 추가적인 종심 방어 기법의 사용도 해당 취약성과 같은 취약성에 대한 성공적인 공격으로 공격자가 입힐 수 있는 피해를 제한하는 데 도움이 될 수 있을 것입니다. 해당 취약성에 대한 추가적인 정보는 다음 참조들에서 확인할 수 있습니다.
 

Buffer Overrun Vulnerability
http://us1.samba.org/samba/security/CVE-2010-3069.html
 
Samba 3.5.5 Available for Download
http://us1.samba.org/samba/history/samba-3.5.5.html


저작자표시 비영리 변경금지
Posted by demantos
0x06 vulnerability2010. 9. 15. 15:00

Adobe 0-day 취약점 정리(2009~2010)

 

CVE-2010-2883 취약점이 나온지 일주일만에 CVE-2010-2884 취약점이 나왔습니다.
아직까지 자세한 이야기는 나오지 않았지만 조만간 해당 취약점을 이용한 악성코드가 유표될 가능성이 커보입니다.

특히 CVE-2010-2884는 안드로이드폰에서 동작하는 Flash Player에도 취약점이 적용되기 때문에 
최근 급증하고 있는 스마트폰 사용자들은 주의를 기울이셔야 할 듯 합니다.

올해는 Adobe의 해(?)라고 해도 과언이 아닐 듯 싶은데요..

그래서 2009년부터 현재까지 이슈가 되었던 Adobe 0-day만 정리해봤습니다.
미리미리 정리해두었다면 쉬웠을텐데 
한꺼번에 할려니 잘 기억도 안나고 -_-;; 빠진것도 많이 있으리라 생각됩니다.


혹, 추가하고자 하시는 취약점이 있으시다면 덧글 달아주세요.
Thanks to 와 함께 제 블로그에 이름이 올라가실 수 있는 영광(?)을 드립니다. ;-)

If you know more 0-day vulnerability about adobe, plz write a comment.
Then I thanks to you and give you honor(?) that get into my post your name. ;-)



CVE Number : CVE-2009-0927
Release Date :  2009.03.04
Affected Version : Adobe Reader and Adobe Acrobat 9 before 9.1, 8 before 8.1.3 , and 7 before 7.1.1
Description : getIcon() Stack Overflow 취약점
Metasploit exploit : windows/fileformat/adobe_geticon
                            windows/browser/adobe_geticon


CVE Number : CVE-2009-4324
Release Date : 2009.12.15
Affected Version : Adobe Reader 9.2 and earlier versions for Windows, Macintosh, and UNIX 
                          Adobe Acrobat 9.2 and earlier versions for Windows and Macintosh 
Description : Doc.media.newPlayer method in Multimedia.api 취약점
Metasploit exploit : windows/fileformat/adobe_media_newplayer
                            windows/browser/adobe_media_newplayer


CVE Number : CVE-2010-1297
Release Date : 2010.06.04
Affected Version : Adobe Flash Player 10.0.45.2, 9.0.262, and earlier 10.0.x and 9.0.x versions 
                          for Windows, Macintosh, Linux and Solaris
                          Adobe Reader and Acrobat 9.3.2 and earlier 9.x versions for Windows, Macintosh and UNIX 
Description : authplay.dll 컴포넌트 취약점
Metasploit exploit : windows/fileformat/adobe_flashplayer_newfunction
                            windows/browser/adobe_flashplayer_newfunction


CVE Number : CVE-2010-2883
Release Date : 2010.09.08
Affected Version : Adobe Reader 9.3.4 and earlier versions for Windows, Macintosh and UNIX
                          Adobe Acrobat 9.3.4 and earlier versions for Windows and Macintosh
Description : Adobe Reader SING Table Parsing 취약점, DEP, ASLR 우회 동작
Metasploit exploit : windows/browser/adobe_cooltype_sing
                            windows/fileformat/adobe_cooltype_sing


CVE Number : CVE-2010-2884
Release Date : 2010.09.13
Affected Version : Adobe Flash Player 10.1.82.76 and earlier versions for Windows, Macintosh, Linux, Solaris, 
                          and Adobe Flash Player 10.1.92.10 for Android
                          Adobe Reader 9.3.4 and earlier versions for Windows, Macintosh and UNIX
                          Adobe Acrobat 9.3.4 and earlier versions for Windows and Macintosh 
Description : 
Metasploit exploit : not yet



그리고 아래는 Metasploit에서 adobe로 검색한 결과입니다.
보시다시피 위에서 언급한 0-day 외에도 여러가지 exploit이 존재합니다.




저작자표시 비영리 변경금지
Posted by demantos
0x06 vulnerability2010. 6. 18. 14:16

CVE-2010-1885 취약점



최근에 발표된 CVE-2010-1885는 윈도우 도움말 센터의 호출구조인 HCP에서 문제가 발생하여
원격에서 코드를 실행할 수 있는 취약점입니다.

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-1885
http://seclists.org/fulldisclosure/2010/Jun/205





개인적으로 샘플을 확보하긴 했는데 아직 공개하지 말아달라는 부탁을 받았습니다.
조만간 분석해서 다시 글 올리도록 하겠습니다.

뭐..구글신과 친하신분들이시라면 exploit 구하실 수 있을 듯 합니다. :)





저작자표시 비영리 변경금지
Posted by demantos
0x06 vulnerability2010. 6. 15. 13:28

Adobe Flash Player, Adobe Reader and Acrobat 취약점(CVE-2010-1297)


6월 4일경 발표된 취약점인데요..

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1297
http://www.adobe.com/support/security/advisories/apsa10-01.html

오늘 업데이트가 나왔나 봅니다.

http://nchovy.kr/forum/2/article/563
http://www.adobe.com/support/security/bulletins/apsb10-14.html



분석글 두개 링크겁니다. 참고하시기 바랍니다.

http://www.symantec.com/connect/ko/blogs/analysis-zero-day-exploit-adobe-flash-and-reader
http://blog.zynamics.com/2010/06/09/analyzing-the-currently-exploited-0-day-for-adobe-reader-and-adobe-flash/


간만에 샘플 확보해서 분석해봐야겠습니다.
Mila씨 블로그 뒤져봐야겠습니다. ㅎㅎ

 



 

저작자표시 비영리 변경금지
Posted by demantos
0x06 vulnerability2010. 5. 27. 10:58

신종 피싱 기법 - Tabnapping



Firefox Creative 담장자 Aza Raskin이 발견한 브라우저 취약점이라고 합니다.

http://www.azarask.in/blog/post/a-new-type-of-phishing-attack/


탭을 이용하시는분들이 많으실텐데요..
Tabnapping 악성스크립트가 삽입된 사이트를 탭으로 열어 볼 경우 해당 브라우저의 다른 탭에 있는 내용을
컨트롤 할 수 있다고 합니다.


A New Type of Phishing Attack from Aza Raskin on Vimeo.



PoC 코드에 해당하는 자바스크립트는 (http://www.azarask.in/projects/bgattack.js)
gmail에 로그인한 탭이 있고 자바스크립트가 삽입되어 있는 탭에서 브라우징을 한 후에
다시 gmail 탭으로 넘어와서 메일을 읽거나 메일을 쓰거나하면 자바스크립트가 있던 탭의 내용이
gmail 메인 페이지로 변경되는데 단순 이미지입니다.

물론 악의적인 의도를 가지고 이미지 대신 피싱사이트로 만들면 속아 넘어가겠죠..
문제는 URL은 바뀌지 않는다는 점입니다.
하지만 favicon까지 동일하게 만들 경우 URL은 잘 보지 않고 탭의 favicon과 제목만 본다는
심리적인 부분을 이용할 수도 있다고 합니다.
PoC 코드에서도 favicon까지 원본 사이트와 동일하게 했다고 하는데 제가 실행했을때는 favicon은 바뀌지 않더군요...-_-;;

어쨋든 신종기법인건 확실한 것 같은데 Raskin의 위 포스팅 글 마지막이 좀...

The Fix

This kind of attack once again shows how important our work is on the Firefox Account Manager to keep our users safe. User names and passwords are not a secure method of doing authentication; it’s time for the browser to take a more active role in being your smart user agent; one that knows who you are and keeps your identity, information, and credentials safe.




우와~ 신기한데~ 하다가 막판에 The Fix를 보고.. 이건 머냐...하는 생각이 들더군요..


개인적인 생각으로 이런 기법을 대응할 수 있는 방법은

1. 탭브라우징이 안되는 IE6을 쓴다. -_-;;;;

2. 인터넷옵션 탭 설정에서 새탭에서 열지 말고 무조건 새창으로 열게 한다.


별로 도움이 안되는 대응방법이군요...ㅜ.ㅜ



앞으로 이 기법이 얼마나 사용될지 궁금하군요...후후~

저희는 해외에서 피싱메일 접수를 많이 하니 앞으로 좀 지켜봐야 할 것 같습니다.







p.s http://vimeo.com/12003099 에도 동일한 동영상이 있는데요
     작성자의 사진을 보는 순간 히어로즈의 사일러다!! 라고 생각했었다는....;;;;


저작자표시 비영리 변경금지
Posted by demantos
0x06 vulnerability2010. 1. 22. 13:03

MS 윈도우 커널 권한상승 취약점 주의



o 윈도우 커널이 VDM을 실행할 때 특정 예외를 적절하지 않게 처리하여 권한상승 취약점이 발생 [1, 2, 3]
o 유효한 로컬 사용자 권한을 가진 공격자는 취약점을 이용해 커널 모드에서 임의의 코드를 실행
할 수 있고 영향 받는 시스템에 대해 완전한 권한을 획득할 수 있음 [1]
o 해당 취약점이 공개되었으므로 권한 관리가 필요한 시스템의 관리자는 각별한 주의가 요구됨

※ 윈도우 커널 : 장치 관리, 메모리 관리, 프로세서 스케줄링 등 시스템 수준의 서비스를 제공하는 운영체제의 핵심
※ VDM (Virtual DOS Machine) : MS 윈도우 NT 기반의 운영체제 내에서 MS-DOS와 16비트 윈도우를 에뮬레이트하는 가상의 서브시스템


o 영향 받는 소프트웨어 [1]
- Microsoft Windows 2000 SP4 for 32-bit Systems
- Windows XP SP2, SP3 for 32-bit Systems
- Windows Server 2003 SP2 for 32-bit Systems
- Windows Vista, SP1, SP2 for 32-bit Systems
- Windows Server 2008 for 32-bit Systems, SP2
- Windows 7 for 32-bit Systems

o 영향 받지 않는 소프트웨어 [1]
- Windows XP Professional x64 Edition SP2
- Windows Server 2003 x64 Edition SP2
- Windows Server 2003 with SP2 for Itanium-based Systems
- Windows Vista x64 Edition, SP1, SP2
- Windows Server 2008 for x64-based Systems, SP2
- Windows Server 2008 for Itanium-based Systems, SP2
- Windows 7 for x64-based Systems
- Windows Server 2008 R2 for x64-based Systems
- Windows Server 2008 R2 for Itanium-based Systems

□ 임시 해결 방안
o 현재 해당 취약점에 대한 보안업데이트는 발표되지 않았음
o NTVDM 서브시스템을 비활성화 [1, 2]
- "그룹 정책" 콘솔을 실행 : 시작→실행→gpedit.msc을 입력 후 확인버튼 클릭
- "그룹 정책" 콘솔에서 "관리 템플릿"→"Windows 구성 요소"→"응용 프로그램 호환성"의 순서로 폴더를 확장
- "16비트 응용 프로그램으로의 액세스를 금지"를 클릭하여 "사용"으로 설정 변경

※ 설정을 적용하면 16비트 MS-DOS 또는 윈도우 3.1 응용 프로그램을 사용할 수 없으므로 주의 [1, 2]

[1] http://www.microsoft.com/technet/security/advisory/979682.mspx
[2] http://www.vupen.com/english/advisories/2010/0179
[3] http://seclists.org/fulldisclosure/2010/Jan/341
[4] http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ko1


 
2010년 초반부터 뻥~뻥~ 터지는군요..

디테일한 정보는 nchovy에서~ http://nchovy.kr/forum/2)/article/519




저작자표시 비영리 변경금지
Posted by demantos

티스토리툴바