みなさん、こんにちは。 SPNの塩月です。

久々の投稿になりましたが、今回は今年8月のセキュリティ更新プログラム「MS11-057」によって修正された、Windowsの「Telnetプロトコルハンドラの脆弱性」についてお話しましょう。

  マイクロソフト セキュリティ情報 MS11-057
  Internet Explorer用の累積的なセキュリティ更新プログラム (2559049)
  http://technet.microsoft.com/ja-jp/security/bulletin/ms11-057

  JVNDB-2011-000060 
  WindowsのURLプロトコルハンドラにおける実行ファイル読み込みに関する脆弱性 
  http://jvndb.jvn.jp/ja/contents/2011/JVNDB-2011-000060.html

例えばWebブラウザなどのアプリケーション・プログラムが「telnet://hostname/」というURLにアクセスする場合を考えてみましょう。通常、プログラムはURLに指定されているスキーム(ここではtelnet)に基づきTelnetプロトコルハンドラを起動します。

WindowsのTelnetプロトコルハンドラには、

  "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\url.dll",TelnetProtocolHandler %l

今回問題となったのはurl.dllの中でShellExecute関数を使用してtelnet.exeを呼び出す際に、カレントディレクトリに偽のtelnet.exeが存在する場合そちらを実行してしまうという、いわゆる「バイナリ・プランティング」の脆弱性です。バイナリ・プランティング問題については下記のSPN通信を参照してください。

  修正されたOperaのバイナリ・プランティング問題
  http://www.sec-pro.net/newsletter/20110131.html

  ShellExecute(handle, NULL, "telnet.exe", アクセス先, Null, ...)

この脆弱性を利用した攻撃のシナリオは、

  あるディレクトリに不正なプログラムをtelnet.exeという名称で設置する
                ↓
  同一ディレクトリに「telnet:///」へアクセスするHTMLファイルを設置する
                ↓
  ユーザがこのHTMLファイルをWebブラウザで開くと・・・
                ↓
  Telnetプロトコルハンドラがカレントディレクトリ上のtelnet.exeを起動

今回のセキュリティ更新で、TelnetプロトコルハンドラがShellExecute関数を呼び出す際に「既定のディレクトリ」として「c:\windows」を指定するように修正されました。

  ShellExecute(handle, NULL, "telnet.exe", アクセス先, "c:\windows", ...)

それではみなさん、またお会いしましょう。

合同会社セキュリティ・プロフェッショナルズ・ネットワーク
代表社員 塩月誠人