[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Windows UMPNPMGR wsprintfWスタックバッファオーバーフロー脆弱性
- To: bugtraq-jp@xxxxxxxxxxxxxxxxx
- Subject: Windows UMPNPMGR wsprintfWスタックバッファオーバーフロー脆弱性
- From: Akiko Takahashi <takahashi.akiko@xxxxxxxxx>
- Date: Wed, 12 Oct 2005 14:06:41 +0900
Windows UMPNPMGR wsprintfWスタックバッファオーバーフロー脆弱性
原版:
Windows UMPNPMGR wsprintfW Stack Buffer Overflow Vulnerability
http://www.eeye.com/html/research/advisories/AD20051011c.html
リリース日:
October 11, 2005
報告日:
August 3, 2005
パッチ開発期間: 69日
リスクレベル:
高 (リモートコード実行)
ベンダ:
Microsoft
対象システム:
Windows NT 4.0
Windows 2000
Windows XP
eEye ID #: EEYEB20050803
OSVDB #: 18830
CVE #: CAN-2005-2120
概要:
eEye Digital Securityは、Windowsプラグアンドプレイサービスの脆弱性を発見
しました。Windows 2000及びXP SP1では、本脆弱性を利用して、匿名のリモート
ユーザが任意のコードをSYSTEM権限にて実行する可能性があります。Windows XP
SP2では、特権の無いユーザが、権限の昇格にてシステムを完全に制御する可能
性があります。
本脆弱性は、MS05-039プラグアンドプレイサービス脆弱性とは無関係であり、
MS05-039用の更新プログラムでは修正されません。eEye Digital Securityは、
本脆弱性をMS05-039パッチリリースの約1週間前に報告しましたが、その時点で
はMicrosoftは対応しませんでした。MS05-047に含まれる汎用的なセキュリティ
対策にて、本脆弱性を利用した匿名ユーザによるドメイン上での内部から攻撃や
複数システムの乗っ取りを防ぐことが可能となりました。
詳細情報:
UMPNPMGR.DLLは、プラグアンドプレイサービスに含まれます。プラグアンドプレ
イサービスはデバイス管理にアクセスする為のRPCインターフェースを提供しま
す。本サービスはWindows NT 4.0以降ではデフォルトで動作し、SERVICES.EXEの
サービスコントロールマネージャ内にハードコーディングされています。本サー
ビスはその重要性から一旦開始されると停止することはできず、無効にしようと
するとシステムが利用できなくなる可能性が高いサービスです。
UNPNPMGRのコードには、スタックバッファ内に様々なフォーマット付き文字列を
構築する為、wsprintfWへの呼び出しが複数含まれます。そのうちの2つのケース
では、ユーザ入力の正当性は、
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum内のサブキーとの一致確認
しか行われません。本レジストリハイブは、権限のない変更から保護されている
のもの、有効なキー名であれば安全という想定は、任意の長さの連続したバック
スラッシュ入力にて回避可能です。(例:"HTREE\ROOT\\\\0\\\\\\\\")
UMPNPMGRインターフェース{8D9F4E40-A03D-11CE-8F69-08003E30051B}のPNP_GetDeviceList
(opnum 10)とPNP_GetDeviceListSize (opnum 11)に本脆弱性は含まれます。前者
では、任意の有効なサブキー名を渡すことで、脆弱なwsprintfW呼び出しに到達
することが可能です。後者では、SplitDeviceInstanceStringの文字列分割方法
により、GetDeviceInstanceListSize内の脆弱なwsprintfW呼び出しに到達する為
には、2つ目(例:"HTREE\\ROOT\0")か3つ目(例:"HTREE\ROOT\\0")に空白の構成
要素を含める必要があります。
Windows 2000以前では、UMPNPMGRインターフェースは\PIPE\browser、\PIPE\srvsvc、
\PIPE\wkssvcの名前付きパイプ経由で認証なしでアクセス可能です。Window XP
以降では多くのサービスをホストプロセスに移行されている為、認証なしで
UMPNPMGRに到達できる名前付きパイプのエンドポイントは少なくなっています。
(例:\PIPE\ntsvcs、\PIPE\scerpc)
Windows 2003では、脆弱なwsprintfW呼び出しを_vsnwprintfの呼び出しに変更す
ることで、本脆弱性は修正されています。本修正が他OS導入されなかった理由は
不明です。
対応ソフトウェア情報:
Retina - Network Security Scanner
Blink - End-point Vulnerability Prevention
ベンダ対応状況:
Windows 2000及びXPについては、Microsoft社は本脆弱性に対する対応パッチをリリースしました。
パッチは下記URLよりダウンロード可能です:
http://www.microsoft.com/japan/security/bulletins/MS05-047e.mspx
Windows NT 4.0については、Microsoft社は一般向けサポートを終了している為、
パッチはリリースされません。
クレジット:
発見者: Derek Soeder (eEye Digital Security)
翻訳: 高橋 晶子 (住商情報システム株式会社)
関連情報:
Retina Network Security Scanner - 日本語版評価版
- https://sec.sse.co.jp/eeye/freedl.html
Retina Network Security Scanner - 英語版評価版
- http://www.eeye.com/html/products/retina/download/index.html
Blink Endpoint Vulnerability Prevention - 英語版評価版
- http://www.eeye.com/html/products/blink/download/index.html
本Advisoryは、住商情報システム株式会社(SCS)が、eEye Digital Securityの
許可を得た上で翻訳しております。
SCSは本和訳が正確な情報になるよう努めさせて頂きます。しかしながら、正確
性、完全性、信頼性、安全性等に関して、いかなる責任も負わないことと致しま
す。
Copyright (c) 1998-2005 eEye Digital Security
Permission is hereby granted for the redistribution of this alert
electronically. It is not to be edited in any way without express
consent of eEye. If you wish to reprint the whole or any part of this
alert in any other medium excluding electronic medium, please email
alert@xxxxxxxx for permission.
Disclaimer
The information within this paper may change without notice. Use of this
information constitutes acceptance for use in an AS IS condition. There
are no warranties, implied or express, with regard to this information.
In no event shall the author be liable for any direct or indirect
damages whatsoever arising out of or in connection with the use or
spread of this information. Any use of this information is at the
user's own risk.
----------------------------------------
高橋 晶子 <takahashi.akiko@xxxxxxxxx>
住商情報システム株式会社
セキュリティソリューション事業部
セキュリティソリューション第4部
http://www.scs.co.jp