注目の脆弱性:WIBU-SYSTEMS の WibuKey.sys に発見された複数の脆弱性
エグゼクティブ サマリー
Cisco Talos は、WIBU-SYSTEMS の WibuKey のカーネル レベルでリモート コード実行とメモリ情報開示の 2 つの脆弱性を発見しました。WibuKey は、ソフトウェアと知的財産を保護するために作られた USB キーです。ユーザは USB キー経由でソフトウェア ライセンスを管理できます。3 つ目の脆弱性はユーザランドにあり、それはネットワーク マネージャに位置しているためリモートでトリガーできます。
Talos は情報開示方針に従って WIBU SYSTEMS と協力し、今回の脆弱性が解決されたことと、影響を受けた利用者向けにアップデートが利用可能であることを確認しています。
脆弱性の詳細
WIBU-SYSTEMS ネットワーク サーバ管理リモート コード実行の脆弱性(TALOS-2018-0659/CVE-2018-3991)
この脆弱性は、WIBU-SYSTEMS の WibuKey ネットワーク サーバ管理で見つかったヒープ オーバーフローの脆弱性です。デフォルトでは、サーバはサービスとして Windows システムで実行され、22347 ポートでリッスンします。この脆弱性を不正利用するために、このポートに送信される細工された TCP パケットが使用される可能性があります。
詳細については、アドバイザリ全文
をご覧ください。
WIBU-SYSTEMS WIBUKEY.SYS 0X8200E804 特権昇格に関する脆弱性(TALOS-2018-0658 / CVE-2018-3990)
WIBU-SYSTEMS WibeKey アプリケーションは、部分的にカーネル スペースで動作します。ロードされたカーネル ドライバは「WibuKey.sys」と名付けられます。ユーザランドとカーネル スペース間の通信は、IOCTL ハンドラにより可能です。この脆弱性は 0x8200E804 IOCTL に存在します。細工された IRP リクエストによって、バッファ オーバーフローが引き起こされ、カーネル メモリが破損される可能性があります。その脆弱性はプール破損につながり、攻撃者によって任意のコード実行と特権昇格に利用される可能性があります。
詳細については、アドバイザリ全文をご覧ください。
WIBU-SYSTEMS WIBUKEY.SYS 0X8200E804 カーネル メモリ情報開示に関する脆弱性(TALOS-2018-0657/CVE-2018-3989)
この脆弱性のベクトルは、TALOS-2018-0658 に似ています。その脆弱性は別の関数に存在しますが、同じ IOCTL からアクセスできます。この脆弱性によって、攻撃者はユーザランドからカーネル メモリ情報を読み取ることができます。
詳細については、アドバイザリ全文をご覧ください。
脆弱性が確認されたバージョン
Talos はテストを行い、WIBU-SYSTEMS WibuKey.sys の Version 6.40(Build 2400)- Windows 7 x86 がこの脆弱性の影響を受けることを確認しました。
まとめ
この中にはリモートでエクスプロイト可能な脆弱性が 1 つあります。この脆弱性により、攻撃者は脆弱なシステム上の管理者としてコードを実行できます。攻撃者は、同じ製品上でこのリモードコード実行と他の脆弱性を組み合わせ、カーネル スペースで任意のコードを実行する可能性があります。
カバレッジ
脆弱性のエクスプロイトは、以下の SNORTⓇ ルールにより検出可能です。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。最新のルールの詳細については、Firepower Management Center または Snort.org をご覧ください。
Snort ルール:47750、47751
Tags:本稿は 2019年1月28日に Talos Group
