マイクロソフト セキュリティ情報 MS08-067 - 緊急 : Server サービスの脆弱性により、リモートでコードが実行される (958644)(情報元のブックマーク数)

マイクロソフト セキュリティ情報の事前通知 - 2008 年 10 月 (定例外)(情報元のブックマーク数) - まっちゃだいふくの日記★とれんどふりーく★でも書いた、予定されていたMicrosoftの緊急パッチリリースです。

WindowsのServerサービスに脆弱性でリクエストで任意のコードを実行できるみたいです。
Blasterの再来ですな・・・こりゃー怖い。

この更新プログラムは非公開で報告された Server サービスに存在する脆弱性を解決します。この脆弱性で、影響を受けるコンピューターが特別な細工がされた RPC リクエストを受け取った場合、リモートでコードが実行される可能性があります。Microsoft Windows 2000Windows XP および Windows Server 2003 システムで、攻撃者によりこの脆弱性が悪用された場合、認証なしで任意のコードが実行される可能性があります。この脆弱性が悪用され、ワームとして悪用できるコードが作成される可能性があります。ファイアウォールによる最善策および標準のファイアウォールの既定の構成を使用することにより、組織のネットワーク境界の外部から行われる攻撃を防ぎネットワーク リソースを保護することができます。

http://www.microsoft.com/japan/technet/security/Bulletin/ms08-067.mspx

RPCリクエスト処理の絡みだそうです。

このセキュリティ更新プログラムは Server サービスが RPC リクエストを処理する方法を修正することにより、この脆弱性を解決します。

http://www.microsoft.com/japan/technet/security/Bulletin/ms08-067.mspx

やっぱり、悪用と標的型攻撃で使われているそうです!!!!!!!!

このセキュリティ情報の公開時に、マイクロソフトはこの脆弱性が悪用されたという報告を受けていましたか?
はい。マイクロソフトはこの脆弱性を悪用しようとする限定的な標的型攻撃を確認しています。しかし、マイクロソフトはこのセキュリティ情報が最初に公開された段階で、公開された検証用コードの例を確認していません。

http://www.microsoft.com/japan/technet/security/Bulletin/ms08-067.mspx

緊急パッチは2007年4月が最後だったんだ・・・

非常に深刻なためにその必要性を正当化するためだ。(IDG News Serviceによると、Microsoftが最後に臨時のパッチをリリースしたのは2007年4月に遡るという。)

マイクロソフト、緊急セキュリティパッチをリリース - ZDNet Japan

小野寺さんもコメントをしていますが、既に悪用されています、ウイルスにもなっている模様!、早急にパッチです!

今回対応した脆弱性は、ファイル共有などをになっている Server Service に存在し、139/TCP, 445/TCPで不正に細工された悪意のある通信パケットを受信することで、システムを完全に掌握される可能性があります。
Windows 2000, Windows XP, Windows Server 2003の深刻度が緊急で Windows XP および Windows Server 2003 において標的型攻撃を確認しています。 Windows Vista, Windows Server 2008 については、深刻度は重要で、悪用も比較的困難であると分析しています。

すでに悪用も確認されていますので、可能な限り早期に適用することを推奨しています。
http://blogs.technet.com/jpsecurity/archive/2008/10/24/3141026.aspx

トロイの木馬のExploitするサンプルがあるそうです。(Sunbeltに)、SQL SlammerやCodeRedのシナリオがまた動いてしまうとか・・・早急パッチ!NOW!

– We have samples in-house of the trojans in-the-wild that are being used in targeted attacks, taking advantage of this exploit. These are currently only targeted attacks, not being used broadly by malware authors.

– It is not a light thing. The urgency is quite real — unpatched, you’ve got the spectre of another SQL Slammer, Code Red type of scenario if the malware writers create a worm. The other issue with this patch is that it affects a broad number of systems (XP, Windows 2000 and 2003 -- the Vista/2008 platform isn't at the same level of risk).

– It is an extraordinary event that pushes Microsoft to do an out-of-band update. This is a big deal for them — each update is tested on a vast number of machines. It underscores the potential seriousness of this vulnerability.

GFI LABS Blog: Just some comments on MS08-067

websenseでサンプルVirusTotalに通すと25%しか検知できないとのこと。

To date, we have seen attacks installing a Trojan (Gimmiv) upon successful exploitation. At the time of this alert, only 25% of 36 anti-virus vendors could detect this malicious code. Blocking TCP ports 139 and 445 at the firewall is only a partial solution because most desktops have file/printer sharing turned on. The out-of-band patch release by Microsoft testifies to the severity of this vulnerability and the urgency for an immediate fix.

Security Labs | Forcepoint

WebSenseがVirusTotalかけてくれていました。n2.exeという検体みたいです。

File n2.exe received on 10.23.2008 23:04:39 (CET)
Current status: finished
Result: 9/36 (25.00%)

http://www.virustotal.com/analisis/aa0b4951ba47a5780a4fe9d0fdf6d521

ってことで、McAfeeが接続先を出しています!!!ここ(hxxp://59.106.145.58)をフィルタがよさそうです。

The applications created the following network connection(s):

* hxxp://59.106.145.58/**********************

http://vil.nai.com/vil/content/v_152892.htm

\wbem\sysmgr.dll ってのを落とすそうです。

When Troj/Gimmiv-A is run, the following file is dropped:

<System>\wbem\sysmgr.dll

This file is also detected as Troj/Gimmiv-A

Sophos Search

MSでは、TrojanSpy:Win32/Gimmiv.ATrojanSpy:Win32/Gimmiv.A.dllだそうです。

We have also have detection for the malware we found used in attacks exploiting this vulnerability (TrojanSpy:Win32/Gimmiv.A and TrojanSpy:Win32/Gimmiv.A.dll) in the signatures the MMPC is releasing today and sharing that information with our partners.

MS08-067 Released – MSRC

ってことで、合わせると。hxxp://59.106.145.58/test2.php?abc=<abc value>?def=<def value>らしいです。URLをフィルタしておきましょう!

Connects to Remote Host
The trojan generates a URL based on the operating system and antivirus information, in the following format:

<remote IP address>/test2.php?abc=<abc value>?def=<def value>

Example:
<remote IP address>/test2.php?abc=1?def=2

http://www.microsoft.com/security/portal/Entry.aspx?name=TrojanSpy%3aWin32%2fGimmiv.A.dll

感染すると%Temp%にVIBFDHBF.batというファイルを落とすそうです。

# Filename(s) File Size File MD5 Alias
1 %Temp%\VIBFDHBF.bat 165 bytes 0xA60FD499344A08FCD741445ACD77FDA9 (not available)
2 [file and pathname of the sample #1] 397,312 bytes 0xCCBB73C5F137335FA2A49D7F79722A6C Generic Dropper [McAfee]Mal/Generic-A [Sophos]TrojanSpy:Win32/Gimmiv.A [Microsoft]
Symantec - Global Leader In Next-Generation Cyber Security | Symantec

MS社内調査で2週間ほど前にマルウエアを発見したとのこと。

Microsoftセキュリティ対策センター(MSRC)のブログによれば、社内の調査で2週間ほど前に、Windows XPを標的としたマルウェア攻撃を発見。詳しく調べたところ、未知の脆弱性を突いたものであることが判明した。

 その後の分析で、この脆弱性を悪用するとワーム作成も可能であることが分かり、次回の月例アップデートを待たずに臨時パッチをリリースするのがユーザーにとって最善だという判断をした。

 Microsoft脆弱性修正パッチ公開と併せ、セキュリティ製品「Forefront」「Microsoft OneCare」の定義ファイルも更新。この脆弱性を突いたエクスプロイトコードやマルウェアを検出できるようにした。ほかのウイルス対策ソフトメーカーにも情報を提供済みだといい、ユーザーに対してはWindowsの更新と同時にウイルス対策ソフトも更新するよう呼び掛けている。

MSが臨時のセキュリティパッチ公開、Windows狙いのワーム出現の恐れ - ITmedia エンタープライズ

Trendmicroが、パターンアップ-5.615.00 - まっちゃだいふくの日記★とれんどふりーく★にて対応しています。

ウイルスファイルのURL詳細が増えています。

hxxp://59.106.145.58/に、n1.exe〜n9.exeが存在する模様。

This spyware may be downloaded by exploits of a discovered zero-day vulnerability in certain Microsoft operating systems. This vulnerability is described in the MS08-67 security bulletin. It is downloaded from the following remote Web site(s):

  • http://{BLOCKED}.{BLOCKED}.145.58/n1.exe
  • http://{BLOCKED}.{BLOCKED}.145.58/n2.exe
  • http://{BLOCKED}.{BLOCKED}.145.58/n3.exe
  • http://{BLOCKED}.{BLOCKED}.145.58/n4.exe
  • http://{BLOCKED}.{BLOCKED}.145.58/n5.exe
  • http://{BLOCKED}.{BLOCKED}.145.58/n6.exe
  • http://{BLOCKED}.{BLOCKED}.145.58/n7.exe
  • http://{BLOCKED}.{BLOCKED}.145.58/n8.exe
  • http://{BLOCKED}.{BLOCKED}.145.58/n9.exe
Search - Threat Encyclopedia - Trend Micro USA

F-Secureもウイルス情報出ました。abcとdefはOSバージョンとアンチウイルスソフトのバージョンみたいです。

The trojan then connects to:



The two parameters 'abc=' and 'def=' are determined by the antivirus program and the operating system version, respectively. For example, if avp.exe is installed on an infected machine that runs Windows XP, then abc=1 and def=2.

Trojan-Spy:W32/Gimmiv.A Description | F-Secure Labs

既に攻撃用のPoCが出ています・・・・まぢっすか・・・

In vstudio command prompt:

mk.bat

next:

attach debugger to services.exe (2k) or the relevant svchost (xp/2k3/...)

net use \\IPADDRESS\IPC$ /user:user creds
die \\IPADDRESS \pipe\srvsvc

In some cases, /user:"" "", will suffice (i.e., anonymous connection)

You should get EIP -> 00 78 00 78, a stack overflow (like a guard page
violation), access violation, etc. However, in some cases, you will get
nothing.

This is because it depends on the state of the stack prior to the "overflow".
You need a slash on the stack prior to the input buffer.

http://www.milw0rm.com/exploits/6824

ぶはっ!!!!Trendmicroさんが国内レンタルサーバに連絡して閉鎖してもらったそうです!www

http://memo.st.ryukoku.ac.jp/archive/200810.month/9542.htmlで小島先生がレンタルサーバ業者名を出したのが14時15分
対応が終わったのが、15時44分。。。。。セキュメモMLみて対応してたってこと?

なお、サーバが設置してあると推定される場所は、そのIPアドレスから日本国内のレンタルサーバである可能性が挙げられます。
※リージョナルトレンドラボより、該当レンタルサーバ業者へ連絡を行い、2008/10/24 15:44にウェブサイトの閉鎖についてご連絡いただいています。

Microsoft Server サービスの脆弱性 (MS08-067)を悪用した脅威 | トレンドマイクロ セキュリティブログ

2時間でPoCが出ちゃったという話。今回も早かったですねぇ。まぁウイルス既にあったしね。

米国Microsoftが10月23日の朝、Windowsの「緊急」の脆弱性について詳細を明らかにしたところ、この脆弱性を利用する実証コードがほんの数時間で登場した。
この実証コードは、セキュリティ・テスト・ツール・ベンダーのImmunityの開発者が作成し、同社はMicrosoftがこの脆弱性に対応するパッチを公開した2時間後にその存在を明らかにした。このコードはImmunityの顧客だけに提供されるが、専門家は、その類似バージョンがすぐに広く出回ると予想している。

http://www.computerworld.jp/topics/ms/125131.html

SDLでも抜けがあった。このSDLでもっともっと、同様のパッチが来月以降出るでしょうね。だって、それがSDLだから。

Microsoftは近年、莫大な資金を投入し、こうした脆弱性を根絶する取り組みを進めてきた。同社のセキュリティ・プログラム・マネジャーのマイケル・ハワード(Michael Howard)氏は、「われわれはファズ・テストを実施していたが、この脆弱性を発見できなかった。だが、これは見つけておかなければならなかいものだった」とブログで述べた。「われわれは、ファズ・テストのアルゴリズムとライブラリを改善するつもりだ」と同氏。

http://www.computerworld.jp/topics/ms/125131.html

GJ!Trendmicro

アップロードに利用されたウェブサーバは、日本国内に設置されたレンタルサーバで、攻撃を確認したトレンドマイクロではレンタルサーバ事業者へ連絡し、サイトは閉鎖されている。

【セキュリティ ニュース】MSの緊急脆弱性を狙う攻撃が発生 - すでに複数国から感染報告(1ページ目 / 全1ページ):Security NEXT

リバースエンジニアリングしたら確かにDCERPCリクエストが出ていたみたい。

On closer analysis, Spy-Agent.da.dll seeks out potentially vulnerable Windows machines in the local network, and sends maliciously crafted DCERPC requests to exploit the Server Service (SvrSvc).

McAfee Threat Center – Latest Cyberthreats | McAfee

TSPY_GIMMIV.Aは、MS08-067を悪用していなく、WORM_GIMMIV.AMS08-067を悪用するそうです。

※当初本記事中において、「TSPY_GIMMIV.A」自体に脆弱性MS08-067:CVE-2008-4250)を悪用するかのような表現がありましたが、リージョナルトレンドラボのその後の調査により、「TSPY_GIMMIV.A」自体に脆弱性を悪用するコードが含まれていないことを確認いたしました。
脆弱性を悪用したワーム型不正プログラム「WORM_GIMMIV.A」の感染活動の一つとして、「TSPY_GIMMIV」がダウンロードされることを確認いたしました。

Microsoft Server サービスの脆弱性 (MS08-067)を悪用した脅威 | トレンドマイクロ セキュリティブログ

MS08-067のPoCのコードまで出ています。何が動くのかよくわからん。。。

The following exploit code will simulate the MS08-067 vulnerability and cause the Server service to fail on vulnerable Windows systems.

Vulnerability in Server Service Allows Code Execution (MS08-067, PoC)

SANSのイエローがグリーンに戻ったそうです。理由は脅威が減ったから?

まぁパッチがでて重要性が広まったからSANSの役割的にはグリーンってことか。

We have just moved back to green. This is not because of any lowering of threat, but to return to our normal steady state. People use the INFOCON level as a matter of understanding what is going on with the Internet and security as a whole.

InfoSec Handlers Diary Blog - Yellow to Green : MS08-067

一方Sunbeltではワームステージに変わったと発表。確かにWORM_GIMMIV.Aが出ていますしね。

There’s some misinformation going on out there that there is already a worm targeting MS08 067. We haven’t been able to verify this.

Looking at the particular trojan that blog mentioned, it seems to me to be a trojan related to the MS08 067 attacks that I took a quick look at this morning:

GFI LABS Blog: No, we're not at worm stage... (yet)

はやくパッチを当てようね!とのこと。

At any rate, I don’t want to de-emphasize the absolutely vital need to patch systems ASAP.

And, we would make an educated guess that a worm will hit soon (maybe in the next day or so).

GFI LABS Blog: No, we're not at worm stage... (yet)

GimmivがSQL Slammerタイプのワームのステージに移ったとのこと。

I was wrong. Earlier today I wrote that a trojan (Gimmiv) exploiting MS08-067 does not have worm characteristics.
I was gently corrected by one of our researchers. Yes, the trojan itself isn't a worm. But I missed the behavior of a dll, a dll dropped by Gimmiv, which is a worm.
Now, that doesn't mean we're at a SQL Slammer type worm stage.

http://sunbeltblog.blogspot.com/2008/10/red-faced.html

Snortのルールも出ているそうです。

The Sourcefire VRT is aware of a vulnerability affecting Microsoft DCERPC.

http://www.snort.org/vrt/advisories/vrt-rules-2008-10-23.html

23179 - "MSRPC Server Service BO" と 23180 - "MSRPC Server Service BO2,"というIPSにシグニチャSymantecが出ているそうです。

Two IPS signatures, 23179 - "MSRPC Server Service BO" and 23180 - "MSRPC Server Service BO2," as well as an AV signature for Bloodhound.Exploit.212 went out in response to the Microsoft out-of-bound patch release today.

https://forums.symantec.com/syment/blog/article?blog.id=vulnerabilities_exploits&message.id=173#M173

MS08-067脆弱性をつくウイルスがパスワードを盗むものとして出ているそうです。

セキュリティ企業各社は2008年10月24日、公開されたばかりのWindowsの脆弱(ぜいじゃく)性を悪用するウイルス(ワーム)が出現しているとして注意を呼びかけた。感染すると別のウイルスをダウンロードされるとともに、パスワードなどを盗まれる恐れがある。

ログインしてください:日経 xTECH(クロステック)

WORM_GIMMIV.Aのことか。

例えばトレンドマイクロでは、今回の脆弱性を突いて感染を広げるウイルス(ワーム)を「WORM_GIMMIV.A(ワーム ギミブイ エー)」と命名。修正パッチを適用しておらず、なおかつファイアウオールやブロードバンドルーターを利用していないパソコンでは、ネットワークに接続するだけでWORM_GIMMIV.Aに感染する恐れがある。

ログインしてください:日経 xTECH(クロステック)

また違うのが出たのか・・・PoC

MS08-067 Exploit for CN by EMM

exploit:
http://milw0rm.com/sploits/2008-MS08-067.rar

http://www.milw0rm.com/exploits/6841

\の解析にひとつ左の\を探すロジックにバグだそうです。

セキュリティ情報サイトの「SecuriTeam」など、いくつかのサイトに掲載されている逆コンパイルリストによると、具体的にはこの脆弱性は、WindowsのシステムファイルであるNETAPI32.DLLに存在している。操作したいリモートのファイル名文字列で「\」コードの解析中に、1つ左の「\」を探すという操作を行う際にバグがあり、スタックオーバーフローを引き起こすというものだ。

 ちなみにこの箇所は、Vista以降でも一部にパラメータの正確性を検証する箇所の追加や、文字列のコピー方法がwcscpy()からより安全とされるwcscpy_s()に変更されている点に違いがあるものの、Windows NT由来のほぼ全く同じコードが流用されている。

マイクロソフトの緊急セキュリティパッチを確認する

RPC over HTTPではExploitしないそうです。

Can the vulnerability be reached through RPC over HTTP?

No, the vulnerability cannot be reached through RPC over HTTP. RPC over HTTP is an end-to-end protocol that has three roles: client, proxy and server. To be clear, this is different from standard RPC, and the two protocols do not interoperate. Moreover, the only way to hit the vulnerable code is through named pipes, so the Interface security callback will drop the connection when connecting through TCP/IP.

http://blogs.technet.com/swi/archive/2008/10/25/most-common-questions-that-we-ve-been-asked-regarding-ms08-067.aspx

MicrosoftMS08-067を悪用するExploitが出たことで、セキュリティアドバイザリを出したそうです。

Microsoft has released Security Advisory 958963 to alert users that exploit code is publicly available for the Windows Server Service vulnerability addressed in Microsoft Security Bulletin MS08-067. The advisory states that this exploit code has demonstrated arbitrary code execution on Windows 2000, XP and Server 2003.

http://www.us-cert.gov/current/index.html#microsoft_releases_security_advisory_958963

Sasser(Not Wassr)だの、Blasterだの騒がれていますね

まぁ、このMicrosoftの慌て様からすると、かなり悪用とかもされてる可能性もありそうですね。

関連記事

screenshot