Windows OLE の OleAut32.dll ライブラリが SAFEARRAY オブジェクトのサイズのエラーを検証する際の処理に不具合があるため、Internet Explorer Enhanced Protected Mode (EPM) サンドボックスや Enhanced Mitigation Experience Toolkit (EMET)をバイパスすることが可能です。このため、攻撃者は VBScript を使用して細工した Web ページに、攻撃対象者を誘導することにより、攻撃対象者の Internet Explorer を実行している権限を奪うことが可能となります。
CVE-2014-6352について
攻撃者は、細工した OLE オブジェクトを含む Office ファイルを作成し、そのファイルが含まれるサイトに攻撃対象者を誘導しファイルを開かせたり、電子メールにファイルを添付して送信し攻撃対象者に開かせる等の行為により、攻撃対象者がファイルを開いた際の実行権限にて任意のコードを実行することが可能です。
脆弱性の存在するターゲット PC より、攻撃者が作成した細工された応答を返すサーバにアクセスすることで脆弱性を利用した攻撃を行い、攻撃者が用意した制御の誘導先のホストの指定ポートにコネクトバックさせ、結果、シェルを奪取するというものです。これにより、リモートからターゲット PC の操作が可能となります。
検証ターゲットシステム(CVE-2014-6332)
Windows 7 Enterprise SP1 日本語版
Internet Explorer 10 日本語版
検証イメージ
検証結果(CVE-2014-6332)
攻撃者が用意した Web サイトに、攻撃ターゲット PC から Internet Explorer 使い、アクセスします。 下図の様に、Internet Explorer セキュリティのダイアログが表示されますが「許可する」ボタンを押すと、脆弱性コードが攻撃ターゲット PC にて実行されます。
下図は、攻撃後の誘導先のコンピュータ(Ubuntu)の画面です。黄線で囲まれている部分は、誘導先のコンピュータのホスト情報です。一方、赤線で囲まれている部分は、ターゲット PC(Windows 7)において、コマンドを実行した結果が表示されています。これにより、ターゲット PC の制御を奪うことに成功しました。
検証概要(CVE-2014-6352)
脆弱性が存在するシステムに添付ファイル付き電子メールを送信する等をして、細工を施した PowerPoint ファイルをターゲット PC にて開きます。ターゲット PC は意図せず、攻撃者が用意した制御の誘導先ホストの指定ポートにコネクトバックするマルウェアをインストール・実行し、リモートからターゲット PC の制御が可能となります。
検証ターゲットシステム(CVE-2014-6352)
Windows 7 Enterprise SP1 日本語版
Office Professional Plus 2013 日本語版
検証イメージ(CVE-2014-6352)
検証結果(CVE-2014-6352)
下図は、ターゲット PC(Windows7)にて、細工した OLE オブジェクトを含む Office ファイル(PowerPoint)ファイルを、ターゲット PC(Windows7)にて開いた時に出るダイアログです。Office ファイル(PowerPoint)ファイルを開くと、マルウェア(mal-CVE2014-6352.exe)の挙動を検知し、ユーザー アカウント制御のダイアログが表示されますが、「はい」を選択し、実行を許可すると、あらかじめ設定された任意のサーバのポートにコネクトバックします。
*ターゲット PC に Python がインストールされている場合は、この制限も回避が可能であることを確認しております。 (今回の検証対象の、Windows 7 Enterprise SP1 日本語版 , Office Professional Plus 2013 日本語版 にて確認済)
