Microsoft Windows 製品の Windows Shell に、リモートより任意のコードが実行可能な脆弱性(CVE-2017-8464)及び、その脆弱性を利用する攻撃コードが発見されました。
本脆弱性は、Windows エクスプローラーなどでショートカットのアイコンを表示する際の不具合に起因する脆弱性で、この脆弱性を利用した攻撃が成立した場合、リモートから、ショートカットのアイコンを表示する操作を行ったユーザーの権限で任意のコードを実行される危険性があります。
本レポート作成(2017年8月15日)時点において、ベンダーより脆弱性を解決する更新プログラムがリリースされております(2017年6月14日付(日本時間))。しかしながら、攻撃が容易であること、また攻撃を受けた際にシステムへの影響が大きいことから、今回、この脆弱性(CVE-2017-8464)の再現性について検証を行いました。
Microsoft 社より、この脆弱性を修正する更新プログラムがリリースされています。
当該脆弱性を修正する更新プログラムを適用していただくことを推奨いたします。
CVE - CVE-2017-8464
CVE-2017-8464 | LNK のリモートでコードが実行される脆弱性
マイクロソフト セキュリティ アドバイザリ 4025685
検証は下記の2パターンについて実施しました。
攻撃者は、細工した LNK ファイル(ショートカットファイル)および同ファイルに関連付けられた悪意のあるバイナリを USB メモリに保存。ターゲットシステムで同 USB メモリを接続し、Windows エクスプローラーで開くことにより、ターゲットシステムの脆弱性を利用して任意のコードを実行させます。
攻撃者は、細工した LNK ファイル(ショートカットファイル)および同ファイルに関連付けられた悪意のあるバイナリをファイルサーバー上のネットワークドライブに保存。ターゲットシステムで同ファイルが存在するフォルダに対して、ネットワークドライブの割り当てを行い、Windows エクスプローラーで同ドライブを開くことにより、ターゲットシステムの脆弱性を利用して任意のコードを実行させます。
今回の検証に用いたコードは、検証パターン1および2ともに、ターゲットシステム上から特定のサーバー、ポートへコネクションを確立させるよう誘導し、システム制御を奪取するものです。これにより、リモートからターゲットシステムで USB メモリまたはネットワークドライブを Windows エクスプローラーで開いたユーザーの権限でターゲットシステムが操作可能となります。
*誘導先のシステムは Linux です。
検証パターン1および2ともに以下のターゲットシステムを使用しました。
- Windows 7 Professional SP1 日本語版
下図は、誘導先のコンピュータ(Linux)の画面です。黄線で囲まれた部分は、誘導先のホストの情報です。一方で、赤線で囲まれている部分は、ターゲットシステム(Windows7)において、ユーザーの情報、IP アドレスの情報を表示するコマンドを実行した結果が表示されています。
これにより、ターゲットシステムで任意のコマンドを実行することに成功したと判断できます。
※検証パターン1および2ともに同様の結果が得られました。
2017年8月15日 : 初版公開
2017年8月22日 : 検証について共有ファイルサーバーを利用して任意のコードを実行させる検証パターンを追記
脆弱性調査レポートのメール配信を開始しました!
ご好評いただいている「脆弱性調査レポート」ですが、コンテンツの都合上、レポートの発行は不定期です。そこで、新しい脆弱性調査レポートを発行するたびに最新情報をメールでお届けする「脆弱性調査レポート メール」の配信を開始しました。ぜひご登録ください。
「脆弱性調査レポート メール」の配信登録はこちら
本件に関するお問い合わせ先
『報道関係者様からのお問い合わせ』 ソフトバンク・テクノロジー株式会社 管理本部 経営企画部 齊藤、吉田、皆口 メールアドレス:sbt-pr@tech.softbank.co.jp |
『お客様からのお問い合わせ』 下記問い合わせフォームよりお問い合わせください。 |