Информационная безопасность

Обзоры : Вариант уязвимости Word Mail Merge
back  новости / статьи / форум / программы / реклама / поиск / эксплоиты  forward
[RU] switch to
English Version 




Тема:                    Разновидность уязвимости "Word Mail Merge"
Авторы:                  Err0r, 3APA3A
Дата:                    03 мая 2002
Затронуты:               Office 97, 2000, XP
Производитель:           Microsoft
Серьезность:             От средней до высокой
Удаленная:               для Office 2000 SR1a и более ранних
Воспроизводима:          Да
Производитель уведомлен: 12 февраля 2002

Введение:

Все   сведения   о   данной  уязвимости  могут  быть  найдены  на  [1].
Изначально  уязвимость  была  рапортована Georgi Guninski [2]. Microsoft
выпустил  hotfix  разрешающий  данную  проблему,  который  был включен в
состав SR1a для Microsoft Office.

Проблема:

ERRor  <error@pochtamt.ru>  обнаружил,  что  проблема  не была разрешена
полностью    и    остаются    возможности   ее   использования.   3APA3A
<3APA3A@SECURITY.NNOV.RU> нашел сценарий удаленного использования данной
проблемы через Outlook Express.

Описание:

В  качестве  разрешения  проблема  Microsoft  решил  запретить UNC-имена
содержащие  IP-адреса  (типа  \\111.111.111.111\)  в  качестве  путей  к
документам  слияния.  Но  все  еще  возможно  использовать  другие  пути
(включая   абсолютный  и  относительные)  чтобы  открывать  макросы  без
предупреждений  в  документах Office 97, 2000 и XP. Эту уязвимость можно
использовать  удаленно,  если  атакующий  имеет  возможность  поместить
документы  Word  и Access в один каталог или поместить документ Access в
известный  каталог  и открыть документ Word. Документ Access может иметь
любое  расширение  - .wav, .html, .txt и т.д. - это не влияет на работу.
Microsoft  Office 2000 SR1a + SP2 и Microsoft Office XP SP1 не позволяют
документам  слияния  открывать  файлы  слияния  из  каталогов  Temporary
Internet  Files,  это  не  позволяет использовать уязвимость для даннызх
версий через Outlook Express или Outlook.

Использование:

Данную  уязвимость  можно  исопльзовать  локально  или  путем социальной
инженерии  (например  поместив файлы readme.doc, setup.exe и setup.dat в
общую  папку,  где  setup.dat  будет файлом Access а setup.exe троянской
программой,  при  открытии  readme.doc  setup.exe может быть запущен без
предупреждения). Для тестирования можно запустить файл expl.doc из [4].

Поскольку  Outlook  Express  открывает  .doc-ФАйлы  без предупреждения и
автоматически  не  смотря  на  установки  зоны  безопасности,  возможно
исопльзовать эту уязвимость удаленно без вмешательства пользователя [5].
Работает следующим образом:
 1. Оба файла (.doc и .mdb) прикреплены к письму с расширением .doc
 2.  Файлы  открываются  с помощью тага IFRAME что приводит к сохранению
 файлов в кэше и запуску MS Word.
 3. Файл expl.doc через Exploit.doc открывает calc.exe
Поскольку  по  необъяснимым  причинам  Internet Explorer 6.0 удаляет два
последних  символа  из  имени  файла  для  этой версии Internet Explorer
приводится отдельный вариант эксплоита.

Ссылки:

1. Еще одна уязвимость в MS Office - выполнение кода через Mail Merge
   http://www.security.nnov.ru/search/news.asp?binid=415&l=RU
2. Georgi  Guninski,  MS  Word  and MS Access vulnerability - executing
   arbitrary programs, may be exploited by IE/Outlook
   http://www.security.nnov.ru/search/document.asp?docid=518
3. Microsoft Security Bulletin (MS00-071)
   Patch Available for "Word Mail Merge" Vulnerability
   http://www.microsoft.com/technet/security/bulletin/fq00-071.asp
4. Mail merge vulnerability local POC
   http://www.security.nnov.ru/files/mailmerge/2files.zip
5. Mail merge vulnerability Outlook Express POC
   http://www.security.nnov.ru/files/mailmerge/2mails.zip
О сайте | Условия использования
© SecurityVulns, 3APA3A, Владимир Дубровин
Нижний Новгород
 


Rating@Mail.ru