Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보[CVE-2017-0290] MS Windows MPE Type Confusion
작성일 2017-05-18 조회 1517

 

 

 

MS Windows MPE Type Confusion은 Windows Malware Protection Engine을 무력화하고 사용자PC에서 임의의 코드를 실행시킨다.
공격자는 취약한 Script파일을 전자 메일 첨부파일 Skype,Messenge를 통한 파일 전송, 웹 사이트를 통한 다운로드 방법으로 유포한다.
사용자 PC에 다운로드 된 취약한 Script파일은 Windows Malware Protection Engine에 의해 분석되는데 이때 Script 해석과정에서
mpengine.dll의 JsDelegateObject_Error :: toString ()함수가 "message" type속성을 검증하지 못하고 처리하는 문제로 인해 취약점이 발생한다.

 

취약점이 성공하면 Windows Malware Protection Engine 서비스는 Disable되고, 원격의 공격자는 임의의 코드를 실행할 수 있다.

 

 

 

- Wins Sniper 대응 방안

Sniper-IPS

[3495] MS Windows MPE Type Confusion

[3496] MS Windows MPE Type Confusion.A

[3497] MS Windows MPE Type Confusion(TCP-8080)

[3498] MS Windows MPE Type Confusion.A(TCP-8080)

 

Sniper-UTM

[805374095] MS Windows MPE Type Confusion

[805374096] MS Windows MPE Type Confusion.A

[805374097] MS Windows MPE Type Confusion(TCP-8080)

[805374098] MS Windows MPE Type Confusion.A(TCP-8080)

 

 

- 분석상세

1. 공격자는 취약점Script파일을 전자 메일 첨부파일 Skype,Messenge를 통한 파일 전송, 웹 사이트를 통한 다운로드 방법으로 유포
2. Windows Malware Protection Engine은 사용자 PC에 다운받은 모든 유형의 파일을 중간에 검사한다.
3. 이때 취약한 공격Script파일을 검사하는 과정에서 mpengine.dll은 Type Confusion 오류가 발생해 Crash가 발생한다.
4. JsDelegateObject_Error :: toString ()함수는 "message" type속성을 검증하지 못하고 JsRuntimeState :: triggerShortStrEvent ()로 "message" 전달
5. JsRuntimeState :: triggerShortStrEvent ()는 문자열 "message" type을 처리하지만, JsDelegateObject_Error :: toString ()함수로부터 정수형 "message"를 전달받음
6. JsRuntimeState :: triggerShortStrEvent ()는  JsString :: numBytes ()를 호출
7. JsString :: numBytes ()는 vtable을 호출하고, vtable이 가지고 있는 가상메모리주소여역에는 실제 위치에 문자열이 아닌 정수형이 있어 Crash 발생

 

 

- CVE
CVE-2017-0290

 

- 취약시스템
Microsoft Endpoint Protection .
Microsoft Forefront Endpoint Protection 2010
Microsoft Forefront Security for SharePoint Service Pack 3
Microsoft Malware Protection Engine prior to 1.1.13704.0
Microsoft Security Essentials .
Microsoft System Center Endpoint Protection .
Microsoft Windows Defender for Windows 7
Microsoft Windows Defender for Windows RT 8.1
Microsoft Windows Defender for Windows 8.1
Microsoft Windows Defender for Windows 10 1607
Microsoft Windows Defender for Windows Server 2016
Microsoft Windows Defender for Windows 10 1511
Microsoft Windows Defender for Windows 10 1703
Microsoft Windows Defender for Windows 10

 

- 위험도
CVSS Score:8.8
https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

 

- 공격영향
임의의 코드 실행

 

- 해결방안
벤더사에서 제공하는 최신의 보안업데이트를 적용한다.
https://technet.microsoft.com/library/security/4022344

 

- 참조

► Exploit-DB
Microsoft Security Essentials / SCEP (Microsoft Windows 8/8.1/10 / Windows Server) - 'MsMpEng' Remotely Exploitable Type Confusion
https://www.exploit-db.com/exploits/41975/

► Google Project Zero
MsMpEng: Remotely Exploitable Type Confusion in Windows 8, 8.1, 10, Windows Server, SCEP, Microsoft Security Essentials, and more.
https://bugs.chromium.org/p/project-zero/issues/detail?id=1252&desc=5

 

 

 

첨부파일 첨부파일이 없습니다.
태그   CVE-2017-0290  MS Windows MPE Type Confusion