Internet Explorerのmshtml.dllに存在する解放済みメモリを使用する脆弱性(CVE-2013-3893)に関する検証レポート

2013/10/02
2013/10/09更新
NTTデータ先端技術株式会社
辻 伸弘
泉田 幸宏

【概要】

Microsoft Internet Explorerに、リモートより任意のコードが実行される脆弱性(CVE-2013-3893)が発見されました。この脆弱性を利用する攻撃コードは、Internet Explorer 8が動作するWindows XP、またはInternet Explorer8 および9が動作するWindows 7を主な攻撃目標としています。
本脆弱性はmshtml.dllに存在しており、オブジェクトが解放される際に、オブジェクトへのポインタを削除しないために発生します。これにより、Internet Explorerは不正なメモリアドレスを呼び出すよう強制されます。

攻撃者は、細工されたWebサイトを利用者に訪問させることにより、リモートからInternet Explorerを実行する利用者のユーザ権限で任意のコードを実行できる危険性があります。攻撃者は、細工されたWebサイトにユーザを誘導することや、細工されたWebサイトへのリンクを添付した電子メールを送信し、攻撃対象ユーザにファイルを開かせることで、ログオンしているユーザと同じ権限を奪取される危険性があります。

現時点(2013年10月2日)において、Microsoft社から脆弱性への対策、回避策などのアナウンスが公開されております。しかし、脆弱性に対応した修正するプログラムはリリースされておりません。
システムへの影響が大きいことから、脆弱性の再現性について検証を行いました。
2013/10/9追記:
Microsoft社より、この脆弱性を修正するプログラム(MS13-080)がリリースされました。

Internet Explorerのmshtml.dllに存在する解放済みメモリを使用する脆弱性(CVE-2013-3893)に関する検証レポート

【影響を受けるとされているシステム】

影響を受ける可能性が報告されているのは、次の通りです。

  • Windows XP Service Pack 3上のIneternet Explorer 6
  • Windows XP Professional x64 Edition Service Pack 2上のIneternet Explorer 6
  • Windows Server 2003 Service Pack 2上のIneternet Explorer 6
  • Windows Server 2003 x64 Edition Service Pack 2上のIneternet Explorer 6
  • Windows Server 2003 with SP2 for Itanium-based Systems上のIneternet Explorer 6
  • Windows XP Service Pack 3上のIneternet Explorer 7
  • Windows XP Professional x64 Edition Service Pack 2上のIneternet Explorer 7
  • Windows Server 2003 Service Pack 2上のIneternet Explorer 7
  • Windows Server 2003 x64 Edition Service Pack 2上のIneternet Explorer 7
  • Windows Server 2003 with SP2 for Itanium-based Systems上のIneternet Explorer 7
  • Windows Vista Service Pack 2上のIneternet Explorer 7
  • Windows Vista x64 Edition Service Pack 2上のIneternet Explorer 7
  • Windows Server 2008 for 32-bit Systems Service Pack 2上のIneternet Explorer 7
  • Windows Server 2008 for x64-based Systems Service Pack 2上のIneternet Explorer 7
  • Windows Server 2008 for Itanium-based Systems Service Pack 2上のIneternet Explorer 7
  • Windows XP Service Pack 3上のIneternet Explorer 8
  • Windows XP Professional x64 Edition Service Pack 2上のIneternet Explorer 8
  • Windows Server 2003 Service Pack 2上のIneternet Explorer 8
  • Windows Server 2003 x64 Edition Service Pack 2上のIneternet Explorer 8
  • Windows Server 2003 with SP2 for Itanium-based Systems上のIneternet Explorer 8
  • Windows Vista Service Pack 2上のIneternet Explorer 8
  • Windows Vista x64 Edition Service Pack 2上のIneternet Explorer 8
  • Windows Server 2008 for 32-bit Systems Service Pack 2上のIneternet Explorer 8
  • Windows Server 2008 for x64-based Systems Service Pack 2上のIneternet Explorer 8
  • Windows 7 for 32-bit Systems Service Pack 1上のIneternet Explorer 8
  • Windows 7 for x64-based Systems Service Pack 1上のIneternet Explorer 8
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1上のIneternet Explorer 8
  • Windows Server 2008 R2 for Itanium-based Systems Service Pack 1上のIneternet Explorer 8
  • Windows Vista Service Pack 2上のIneternet Explorer 9
  • Windows Vista x64 Edition Service Pack 2上のIneternet Explorer 9
  • Windows Server 2008 for 32-bit Systems Service Pack 2上のIneternet Explorer 9
  • Windows Server 2008 for x64-based Systems Service Pack 2上のIneternet Explorer 9
  • Windows 7 for 32-bit Systems Service Pack 1上のIneternet Explorer 9
  • Windows 7 for x64-based Systems Service Pack 1上のIneternet Explorer 9
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1上のIneternet Explorer 9
  • Windows 7 for 32-bit Systems Service Pack 1上のIneternet Explorer 10
  • Windows 7 for x64-based Systems Service Pack 1上のIneternet Explorer 10
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1上のIneternet Explorer 10
  • Windows 8 for 32-bit Systems上のIneternet Explorer 10
  • Windows 8 for 32-bit Systems上のIneternet Explorer 10
  • Windows 8 for 64-bit Systems上のIneternet Explorer 10
  • Windows Server 2012上のIneternet Explorer 10
  • Windows RT上のIneternet Explorer 10
  • Windows 8.1 for 32-bit Systems上のIneternet Explorer 11
  • Windows 8.1 for 64-bit Systems上のIneternet Explorer 11
  • Windows Server 2012 R2上のIneternet Explorer 11
  • Windows RT 8.1上のIneternet Explorer 11

【対策案】

本レポートの作成時点(2013年10月2日)において、Microsoft社から本脆弱性を修正するバージョンはリリースされておりません。修正プログラムがリリースされ適用するまでは、一時的に使用するブラウザを変更していただくことで影響を低減させることが可能です。

またMicrosoft社では、回避策として「Fix it」を適用する、「EMET」を導入する、Internet Explorerのセキュリティゾーン設定を「高」へ変更する方法がアナウンスされております。以下のURLにおいて具体的な回避策が記載されております。

マイクロソフト セキュリティ アドバイザリ (2887505)
Internet Explorer の脆弱性により、リモートでコードが実行される
https://docs.microsoft.com/en-us/security-updates/SecurityAdvisories/2013/2887505

2013/10/9追記:
Microsoft社より、この脆弱性を修正するプログラム(MS13-080)がリリースされました。
動作確認の上、本修正プログラムを適用していただくことを推奨いたします。
修正プログラムが適用された以下のシステムに対して、再度検証を行った結果、脆弱性の再現ができないことが確認されました。
・Windows 7 SP1上のInternet Explorer 9(MS13-080適用済み)、およびOffice 2007

【参考サイト】

CVE-2013-3893
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3893

マイクロソフト セキュリティ アドバイザリ (2887505)
Internet Explorer の脆弱性により、リモートでコードが実行される
https://docs.microsoft.com/en-us/security-updates/SecurityAdvisories/2013/2887505

Internet Explorer の脆弱性対策について(CVE-2013-3893)
http://www.ipa.go.jp/security/ciadr/vul/20130918-ms.html

2013/10/9追記:
MS13-080: Internet Explorer 用の累積的なセキュリティ更新プログラム (2879017)
https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2013/ms13-080

【検証イメージ】

検証イメージ

【検証ターゲットシステム】

Windows 7 SP1上のInternet Explorer 9、およびOffice 2007

【検証概要】

ターゲットシステム上のInternet Explorerで、細工したWebサイトにアクセスさせることで、任意のコードを実行させます。ターゲットシステムは、悪意のあるユーザが用意したホストに制御が誘導されます。
今回の検証に用いたコードは、ターゲットシステム上から特定のサーバ、ポートへコネクションを確立させるよう誘導し、システムの制御を奪取するものです。
これにより、リモートからターゲットシステムが操作可能となります。
* 誘導先のシステムはMac OSX です。

【検証結果】

下図は、攻撃後の誘導先のシステム画面です。

下図は、誘導先のコンピュータ(Mac OSX)の画面です。黄線で囲まれている部分は、誘導先のコンピュータのホスト情報です。一方で、赤線で囲まれている部分は、ターゲットシステム(Windows 7)
において、コマンドを実行した結果が表示されています。
これにより、ターゲットシステムの制御の奪取に成功したと言えます。

検証結果

PDF版のダウンロードはこちらから PDF版

※ 各規格名、会社名、団体名は、各社の商標または登録商標です。


 

Internet Explorerのmshtml.dllに存在する解放済みメモリを使用する脆弱性(CVE-2013-3893)に関する検証レポート