土曜日, 9月 11, 2010

【zeroday】IEブラウザーのMSOHEVI.DLLロード仕組み問題


IEブラウザがMSOHEVI.DLL」をロードの仕組み問題があり、MSOHEVI.DLLファイルをロードする時にチェック無しでMSOHEVI.DLLをメモリーにロードされてしまいます。この問題に当たって偽MSOHEVI.DLLをIEのDLL検索パース順番に入れたらロードされてしまう可能性があります。で、偽MSOHEVI.DLLに書いた悪戯コード(function)をコールする事が出来ます。本問題の情報を使われたら新しいマルウェア感染仕組みになる可能性が高いです。本件の情報は昨日JSTからインターネットで交換されている状況でので、現在はゼロデイセキュリティ問題になります。

本件セキュリティ問題について下記の環境に影響があります、問題の条件となります↓
windows 2000, windows XP SP3, windowsVista7 + IE7,8 + Office 2007
※「msohevi.dll」とは正式なMicrosoft Office 2007のライブラリー(DLL)ファイルである。

再現仕方↓
1)先ずは下記DephiコードをDLLへコンパイルが必要↓
Library Test;
uses
Windows;

begin
MessageBoxA
(
0,
PChar('アドミン権限が取れましたよ'),
PChar('再現結果'),
MB_ICONSTOP
);
end.

2)上記のコンパイル結果DLLファイル、例えばSAIGEN.DLLとのDLLファイルに保存して、MSOHEVI.DLLファイルにあるフォルダーにコピーして下さい、
オリジナルMSOHEVI.DLLのバックアップを取って、SAIGEN.DLLをMSOHEVI.DLLにリプレースして下さい。終わったら…IEを実行すると「アドミン権限が取れましたよ」のポップアップが出ます。

---
http://0day.jp
ゼロデイ・セキュリティリサーチ
アドリアン・ヘンドリック

0 件のコメント:

コメントを投稿