2003年9月10日(水曜日)
MS03-032が直ってない話
更新: 2003年9月10日
静かに話題になっている「実は MS03-032 が直ってない」話ですが、パッチを当てた環境で公開されている exploit を試してみたら、あまりに見事な結果に驚いてしまいました。なんとローカルに勝手に exe ファイルを作成されて実行されてしまうのですが、hta ってこんなに強力だったのですね。
これ、罠のサイトにアクセスした瞬間に任意のコードが実行されるという洒落にならない話で、即座にワームにも応用できる内容です。その威力の割には、あんまり危機感を持たれていなさそうな気がします。
※詳細は「米MS、とんだお粗末-重大な脆弱性用のパッチが役に立たず (www.st.ryukoku.ac.jp)」参照。なお、exploitデモのある http://www.malware.com/greymagic.html (アクセスした瞬間に exploit 発動しますので注意!) には "clear mal_ware.exe from C:\" と書いてありますが、実際にやってみるとこのファイルは \ ではなく system32 に作られました。おそらく mshta.exe と同じディレクトリに作られるのでしょう。
Microsoft はさらなるパッチを準備中のようですが、とりあえずの回避策は以下の 2種類でしょうか。
- Active X コントロールの実行を無効にする (これで object要素が解釈されなくなる)
- application/hta を実行できないようにする (要レジストリ改変)。
スクリプトを無効にしただけでは回避できないので注意が必要です。あるいはマイコンピュータゾーンでスクリプトを無効にすれば回避できるのかも知れませんが、試していません。
追記 : セキュリティレベルの設定は hta には関係なく、たとえマイコンピュータゾーンでスクリプトを無効にしても駄目です (情報 : えむけいさん。ありがとうございます)。実際にマイコンピュータのセキュリティレベルを変更して試してみましたが、見事に実行されました。
※マイコンピュータゾーンのセキュリティレベル変更の方法については「IE に特大ホゥル」を参照。
- 「MS03-032が直ってない話」へのコメント (4件)
関連する話題: Web / UA / Internet Explorer / セキュリティ / コンピュータウィルス
- 前(古い): 2003年9月9日(Tuesday)のえび日記
- 次(新しい): 2003年9月13日(Saturday)のえび日記
