Categories: 脅威リサーチ

注目の脆弱性:ホッパー逆アセンブラ内の ELF セクション ヘッダーにおけるサイズ コードの実行

脆弱性の発見者:Tyler Bohan および Cory Duplantis(Cisco Talos)

Talos では、ホッパーTALOS-2016-0222/CVE-2016-8390)の ELF セクション ヘッダー解析機能において、悪用可能な境界外書き込み脆弱性を発見しました。ホッパーは macOS および Linux 向けのリバース エンジニアリング ツールで、Mac(32/64 ビット Intel ベース)、Linux、Windows、および iOS 向けの実行可能ファイルを逆アセンブリ/デコンパイルするために使用されます。ELF セクション ヘッダーの解析中、ユーザによって制御される未検証のサイズが存在します。悪意のある攻撃者は ELF ファイルを巧妙に細工し、特定のセクション ヘッダーを含めることで、本脆弱性をトリガーさせてコードのリモート実行権限を入手する危険性があります。巧妙に細工された実行可能ファイルを含めた ZIP 圧縮ファイルを、脅威の分析担当者を狙ってフィッシング サイトやファイル共有サイトから送り付ける場合もあります。このタイプのエクスプロイトは、サンドボックスや自動逆アセンブリによる分析回避手段として使用される場合もあります。

ホッパーは更新されており、更新記録は次の URL をご覧ください。
https://www.hopperapp.com/rss/html_changelog_v3.php

カバレッジ

お客様の保護のため、Talos はこうした脆弱性を悪用しようとする行為を検出するルールをリリースいたしました。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールの追加や変更がある場合がありますのでご注意ください。最新のルールの詳細については、FireSIGHT Management Center、または Snort.org をご覧ください。

Snort ルール:40488-40489
http://talosintel.com/vulnerability-reports/

本稿は 2016年10月18日に Talos Group のブログに投稿された「Vulnerability Spotlight: Hopper Disassembler ELF Section Header Size Code Execution」の抄訳です。

TALOS Japan

Talos は、ネットワーク脅威の専門家集団です。Talos が提供する脅威インテリジェンスの情報は、既知および未知の脅威からお客様のネットワークを保護するためにシスコのセキュリティ製品によって活用されています。