概要
Hancom inc. が発行しているハングルの Office スイート(ハングルの文書作成ソフトウェアが含まれている)は、韓国における主要な文書作成ソフトウェアおよびオフィス生産性スイートです。この脆弱性により、攻撃者は巧妙に細工された悪意のあるドキュメントを作成することができ、ターゲットとなったシステムのユーザがこのドキュメントを開くと、そのシステムで任意のコードが実行されます。
TALOS-2017-0320(CVE-2017-2819)ハングルの文書作成ソフトウェアのバッファ オーバーフローの脆弱性
ハングルの文書作成ソフトウェアで作成されたドキュメントは、構造化されたフォーマットを使用して、最終ドキュメントを構成するさまざまなオブジェクトを保存しています。ドキュメントを開くと、このソフトウェアはオブジェクトのプロパティを示すメタデータ タグを読み取り、各オブジェクトを保存するために必要なメモリを計算します。
ドキュメント内のタブの定義に関しては、レコード HWPTAG_TAB_DEF がその情報を示します。該当のデータ セクションをロードするために必要なメモリ量は、このセクションのヘッダー情報に示されます。ただしこの値は、前述のタブの定義で使用されているヒープ バッファに渡されるものとして、サイズ変更されることなく再利用され、ヘッダーに表示される場合があります。これにより、タブ セクションのコンテンツが、ヒープとして割り当てられたバッファ外で記述されることでバッファ オーバーフローの状態となり、結果としてリモートからのコード実行が引き起こされます。
詳細は、次の脆弱性レポートに記載されています。TALOS-2017-0320
脆弱性のあるバージョン::Hancom Office 2014 バージョン 9.1.0.2172
ディスカッション
ハングルの文書作成ソフトウェアで作成されたドキュメントは、韓国のユーザをターゲットにした攻撃者が最も好む攻撃ベクトルです。シスコは最近、このような脅威の例を 2 つ説明しています。こちらとこちらをご確認ください。オフィス生産性ソフトウェアの脆弱性は攻撃者にとって便利です。電子メールで頻繁に送信されているファイル フォーマットであり、攻撃対象として狙いやすいためです。攻撃者がこのような脆弱性を悪用してシステムを侵害できないようにするために、ユーザはオフィス生産性スイートを含むすべてのソフトウェアに最新のパッチが適用されていることを確認する必要があります。
カバレッジ
この悪意ある試行は、以下の Snort ルールにより検出可能です。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。最新のルールの詳細については、FireSIGHT Management Center または Snort.org を参照してください。
Snort ルール:35832 ~ 35833
本稿は 2017年5月12日に Talos Group のブログに投稿された「Vulnerability Spotlight: Hangul Word Processor Remote Code Execution Vulnerability」の抄訳です。