この脆弱性は、Cisco Talos の Tyler Bohan と Marcin Noga によって検出されました。
Talos は現在 Lexmark の Perceptive ドキュメント フィルタ ライブラリ内で検出された 3 つの新しい脆弱性を公開しています。TALOS-2016-0172、TALOS-2016-0173 および TALOS-2016-0183 の脆弱性は、特別な目的で巧妙に作られたファイルを使ったリモート コードの実行を可能にします。
概要
これらの脆弱性は、eDiscovery、DLP、ビッグ データ、コンテンツ管理などの幅広いサービスで使用される Lexmark のドキュメント フィルタ解析エンジンで確認されています。このライブラリは、ファイルの変換機能(Microsoft の文書形式から他の形式への変換など)を実現するために、数々のファイル形式の詳細な検査を可能にする目的で上記のようなサービスでよく使用されています。Lexmark はこのライブラリを提供して、同様の動作に使用されるサードパーティ ライブラリやオープン ソース ライブラリに対抗しています。
文書変換は、非構造化データソリューションから、より有効な構造化データ ソリューションへの移行を図る多くのビジネスにとって、ビジネス効率を向上させるうえで重要な機能の 1 つです。
検出されたこれら 3 つの脆弱性は、特別な目的で巧妙に作られたファイル(XLS、Bzip2 および Compound Binary File Format(MS-CFB)など)を使用したリモート コードの実行を可能にします。これにより、攻撃者は環境内でリモート コードを実行でき、さらには攻撃を受けたリソースのフル コントロール権限を攻撃者に明け渡してしまう可能性があります。
Perceptive ドキュメント フィルタについての詳細は、Lexmark のウェブサイトのページ
を参照してください。
詳細
TALOS-2016-172
この脆弱性は XLS 文書の解析および変換プロセスに存在します。特別な目的で巧妙に作られた XLS ファイルがユーザへの攻撃に使用されたとき、境界を超えた書き込みを許可する脆弱性が原因でリモート コードが実行されます。このファイルはフィッシング メールの添付文書として直接配信されたり、URL を介してユーザがダウンロードまたは実行するように仕向けられたりします。
テクニカル アドバイザリの全文はこちらをご覧ください。
TALOS-2016-0173
この脆弱性は bzip2 ファイルの解析と変換が原因で発生します。bzip2 ファイルはオープン ソース プラットフォームで広くサポートされる高圧縮ファイル形式です。特別な目的で巧妙に作られた bzip2 ファイルを使用することで、攻撃者は境界を超えた書き込みを可能にして、被害者のマシンでリモート コードを実行します。
テクニカル アドバイザリの全文はこちらをご覧ください。
TALOS-2016-0183
この脆弱性は Compound Binary File Format(MS-CFB)処理が原因で発生します。これは Microsoft 社が提供するファイルの種類で、ファイル内でファイル システムのような構造を持つことができるため、送られてくる任意のデータおよびアプリケーションの特定データを記憶することができます。特別な目的で巧妙に作られたファイルを使用することで、攻撃者はヒープ オーバーフローの脆弱性を悪用します。
テクニカル アドバイザリの全文はこちらをご覧ください。
カバレッジ
これらの脆弱性を検出するために次の Snort ID がリリースされました:39868~39869、39871~39872
今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。最新のルールの詳細については、Firepower Management Center、FireSIGHT Management Center、または Snort.org を参照してください。
その他のゼロデイ レポートおよび脆弱性レポート、情報については、こちらをご覧ください。
http://talosintelligence.com/vulnerability-reports/
本稿は 2016年8月15日に Talos Group
Authors