概要
Talos は、Microsoft wimgapi のリモート コード実行の脆弱性を公表しました。Wimgapi DLL は、Windows Imaging Format(WIM)ファイルの操作を実行するために、Microsoft Windows オペレーティング システムで使用されます。WIM は、Microsoft が Windows システムの導入を簡素化するために作成した、ファイル ベースのディスク イメージ形式です。攻撃者が巧妙に細工された WIM ファイルを作成すると、ログイン ユーザと同じアクセス権限で悪意のあるコードを実行したり、サービス妨害攻撃でシステムをクラッシュさせることができる可能性があります。この脆弱性は、ファイル ヘッダーの解析に関係しているため、シンプルな操作でもトリガーされる可能性があります。WIM ファイルは、デフォルトではファイル タイプ ハンドラが登録されていないため、ファイルハンドラ タイプを先に登録しない限り、ユーザに WIM ファイルをダブルクリックさせるよう仕向けてこの脆弱性をトリガーさせることはできません。
詳細
この脆弱性は WIM ファイルのヘッダーの解析中に使用される LoadIntegrityInfo 機能に存在します。巧妙に細工された WIM ファイルにより、ヒープの破損およびリモート コード実行が引き起こされる可能性があります。
この脆弱性は、不正な WIM ファイルに関して非常にシンプルなオペレーションが実行された場合でもトリガーされます。たとえば、アプリケーションが WIMCreateFile 機能で WIM ファイルを開いて、ファイル ハンドルをリクエストしようとしただけでもトリガーされます。この機能は、ユーザ制御のサイズの値に基づいてヒープ メモリを割り当て、別のユーザ制御の値を使用して、ファイルからバッファへの n バイトを読み込みます。事前の入力チェックなしにこれらの値が使用されます。
技術的な詳細については、Talos 脆弱性レポート
に記載されています。
カバレッジ
この悪意ある試行は、以下の Snort ルールにより検出可能です。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。最新のルールの詳細については、Firepower Management Center または Snort.org を参照してください。
Snort ルール:46055-46056、46058-46059
本稿は 2018年6月13日に Talos Group
Authors