にわか鯖管の苦悩日記　＿|￣|●(2005-12-28)

この日記は kikuzou の個人的なメモや、ネタなど書いています。
内容については、適当なことや間違ったことを書いている可能性もありますので、予めご了承下さい。
リンクしたいという変わった人がいれば、ご自由にどうぞ。ヽ（´ー｀）ノ
私へのツッコミや記載事項に関する苦情等がある場合は、kikuzou@gmail.com まで連絡してください。

2005/12/28 (Wed)

1. [雑記] wmfファイルの未知の脆弱性!?

久々にやってしまいました・・・。それも仕事納めの日に (；´Д｀)ノ
メールチェックを行っていて、興味のあるタイトルに惹かれて、内容を見ていると

「以下URLに行くと全てのパッチを適用したWindowsXPでもウイルスが動いたぜ。ノートン先生も反応しない。wmf形式のウイルスっぽいぞ。」

といった感じ(かなり適当な訳ｗ)。「へぇ～」と思っていると誤って URL をクリックしてしまいました (´Д｀；)
いつもなら、Gmailは EdMax で読んでいるので、URLをクリックしたところで問題は無かったのですが
現在、隔離された部屋で作業しているので、Webインターフェースで読んでいたのがマズかった。
おまけに、私はWebサイトやメールを見るときに文字を反転させながら見る癖があるので、それも仇となりました。

URLをクリックした瞬間、「Windows 画像と FAX ビューア」が起動して、何かし始めました。((((((；゜Д゜))))))ガクガクブルブル
これはヤバイと思い、即LANケーブルを引っこ抜きました。
タスクマネージャを確認すると、「bum173.exe」というプログラムが動いています。

「あやしすぎますから・・・ (´Д｀；) 」

いろいろ調べた結果、レジストリの改変,ファイルのダウンロードおよび実行をしているっぽい。
私のPCの、HTTP通信ログから、以下のようなことを行っていることが判明。

　01. URLにアクセスし、HTMLファイルをダウンロード
　02. 上記HTMLファイルに記述された wmfファイルをダウンロード
　03. msnメッセンジャーに接続!?
　04. ファイルダウンロード (ioo.exe)
　05. とあるサイトにアクセス
　06. 実行させるコマンドをクライアントに送る (5個のファイルのダウンロード)
　07. 上記ファイルのダウンロード開始

ここで、LANケーブルを抜いたので、そこからの動作は不明。
いろいろとPC内部を調査して、復旧作業開始。おそらく全て直ったと思われます。

ここで注目すべきことは

　◎クライアントPCは WindowsXP SP2 で全てのパッチを適用済み
　◎ノートンアンチウイルスの定義ファイルは最新版を使用

ということです。ノートン先生はあまりあてにしていないのですが、全てのパッチが適用された
WindowsXPでも、wmfファイルを開いた途端、とあるコマンドが実行されたということです。
おそらく、wmfファイルに対して、なんらかの脆弱性がまだあるということですね。

情報が上がってくるのを待つことにしよう。
なお、興味のある方は連絡いただければ、URL,ダウンロード・実行されたファイルをお送りします。
おそらく有名なMLからの情報なので、セキュリティ関連の業務に携わる人なら見ているかもしれませんがｗ

【2005.12.28 16:31 追記】
　どうも、これのようです。
　　Windows WMF 0-day exploit in the wild

【2005.12.28 17:20 追記】
　調査した結果、Metasploit で作られたファイルのようです。
　ということで、試しに作ってみました。興味のある人は以下URLをクリックしてみてください。
　クリックすると、メモ帳が起動されます。(アプリケーションエラーは発生しますがｗ)
　動作確認をした環境は "WindowsXP SP2 日本語版全パッチ適用済み" のみです。
　なお、実行してみる場合は自己責任でお願いします!!。

　　◎Exploitテストページへ ※2006.01.11 削除

【2005.12.28 20:40 追記】
　いろいろと情報があがってますね。

　・New WMF 0-day exploit：F-Secure blog
　・Microsoft Windows WMF Handling Arbitrary Code Execution：Secunia
　・休暇中のWebアクセスには注意、Windowsに新たな未パッチの脆弱性：ITmedia
　・セキュリティホール memo

　ちなむと、grinさんのところでも検証コードを試すことができます。