脆弱性の発見者:Piotr Bania(Cisco Talos)
概要
Talosは、Microsoft Windows 10 AHCACHE.SYS (TALOS-2016-0191
/CVE-2016-3369) におけるリモート Dos 攻撃の脆弱性に対するアドバイザリをリリースしました。
この脆弱性により、AHCACHE.SYS に範囲外のメモリへのアクセスを試行させる、悪意のあるポータブル実行可能ファイルが作成される恐れがあります。これは、クラッシュの原因となる Windows カーネルのエラー、ひいてはユーザへのサービス拒否を引き起こすものです。AHCACHE.SYS はローカル キャッシュの互換性情報を扱うドライバですが、この脆弱性が不正利用されると、攻撃者はコードの実行や権限の昇格が可能になります。
詳細
キャッシュ ルックアップ中に、「AslpFileQueryVersionString」機能が他の機能とともに表示されます。この機能は、PE 内のリソース変数(Var->wValueLength)から EDI 値を境界チェックせずに読み取ります。PE の内容は攻撃者によって制御されるため、攻撃者は過大な値を指定してプログラムに利用不可能なメモリへのアクセスを試行させ、アクセス違反を起こすことによってシステムをクラッシュさせることが可能です。
カバレッジ
この脆弱性について、Microsoft 社はセキュリティ更新 3178467 にてパッチを適用しました。内容はセキュリティ アップデート MS16-110 にて報告されています。お客様の保護のため、Talos はこうした脆弱性を悪用しようとする行為を検出するルールをリリースいたしました。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールの追加や変更がある場合がありますのでご注意ください。最新のルールの詳細については、FireSIGHT Management Center、または Snort.org をご覧ください。
Snort ルール:40555、-40556
ゼロデイや脆弱性に関するレポートや情報について、詳しくは http://www.talosintelligence.com/vulnerability-reports/ をご覧ください。
本稿は 2016年11月2日に Talos Group
Authors