ScanDispatch「最も優れたセキュリティバグを選ぶPwnie Awards候補発表」

今年も、オニーアワードの候補が決定したため報告したい。オニーアワード（ Pwnie Awards）とは、英語の「own」のハッカー用語である「Pwn（セキュリティを回避したり、サーバをコントロールしたりという意味）」に、ブロードウェイのトニー賞（Tony Award）を合わせて、 Dino A Dai Zovi と Alexander Sotirov が、2007年に半ばジョークで始めたものだ。

毎年、「サーバサイド・バグ」「クライアントサイド・バグ」などのカテゴリーに分けられたその年の最優秀（？）バグが選ばれ、ラスベガスで開かれるブラックハットセキュリティコンファレンスの会場にて、優勝者の表彰式が行われる。

今回のベスト・クライアントサイド・バグと、ベスト・サーバサイド・バグ候補は以下の通り。

●ベスト・サーバサイド・バグ

「ASP.NET Framework Padding Oracle（CVE-2010-3332）」
ASP.NETのフレームワークに存在するPadding Oracle攻撃の脆弱性。ほとんどすべてのASP.NETのWebアプリがこの脆弱性を持っており、リモートからコード実行ができてしまう。

「Microsoft FTP server heap overflow（CVE-2010-3972）」
Microsoft FTP serverに発見された、リモートからコード実行が可能な脆弱性。これは、FTPレスポンスでTelnet IACのキャラクター（特に 0xFF）をエンコードする際に発生するバウンダリエラーによるもの。非常に長くかつバッファオーバーフローを行わせるように作られたFTPのリクエストを行うと、FTPサービスにヒープベースのバッファオーバーフローが生じ、FTPサービスの認証を経ずにエクスプロイトできてしまう。

「ISC dhclient metacharacter injection（CVE-2011-0997）」
ISCのdhclientは、DHCPサーバからのレスポンスにある特定のshell meta-charactersを、ストリップあるいはエスケープしないでシェルスクリプトにパスしてしまう。そのため、OSの使用するスクリプトによっては、クライアントで無差別なコードの実行が可能になる。この攻撃を使用すると、ネットワーク上に攻撃用DHCPサーバがあるだけで、ローカルネットワーク全部のエクスプロイトが可能となってしまう。

「BSD-derived IPComp encapsulation stack overflow（CVE-2011-1547）」
ほとんどのBSDベースのネットワーク・スタックは、IPomp Encapsulationのコード・プロセッシングに脆弱性を持っている。そのため、nested IPCompのペイロードを再帰的にde-encapsulateすると、攻撃者はKernalスタック・オーバーフロー（バッファオーバーフローとは別物）を発生させることができる。

「Exim remote code execution flaw（CVE-2010-4344）」
これは、実際に採集されたエクスプロイトである。Eximのログ機能でのバッファオーバーフローを悪用して、サーバでのコード実行を可能とするもの。このエクスプロイトは、EIPのハイジャックを行う代わりに、攻撃者がシェルコマンドを使って内部データストラクチャを上書きしてしまい、サーバが次のメッセージをプロセスする時に実行されてしまうという、非常に興味深いものである。

●ベスト・クライアントサイド・バグ

「FreeType vulnerability in iOS（CVE-2011-0226）」
MobileSafariが使用するFreeTypeライブラリの、Type 1フォントプログラムのインタプリタにある脆弱性をエクスプロイトしたもの。このエクスプロイトは、最新のシステムをエクスプロイトするのに、変わったマシンをプログラミングする良い例となっている。

「Google Chrome sandbox bypass」
このエクスプロイトは一般公開されていないが、Googleのセキュリティ・チームはHTMLレンダープロセスのsandboxに比べて、Flashのsandboxは非常に脆弱なため、Flashの脆弱性を利用したものであろうと推測される。

「Java mismatched codebase arbitrary code execution（CVE-2010-4452）」
この脆弱性は、Javaの機能の一部のみを使用して、任意のコード実行を可能にするもので、バッファオーバーフローやメモリ破壊などの乗っ取り技術を使用しないため、100％「信頼」できる。

「Blackberry Pwn2Own exploit」
二種類のWebKit情報漏えいの脆弱性と、整数オーバーフローをつなげて、BlackBerryでの任意のコードの実行を可能とする。BlackBerryは技術仕様書も、デバッガーも、コアダンプも入手可能ではないため、このバグを発見した研究者らには脱帽だ。

「Android web market XSS」
XSS脆弱性を利用して、ユーザに悪意のあるリンクをクリックさせるだけで、リモートから自在なパーミッションを持った任意のアプリをインストールさせることができるもの。

このほかにも「ベスト権限上昇バグ」と「最も革新的な研究」の2つのカテゴリがある。

●セキュリティベンダのひどい対応

そして、一番面白い（ベンダにとっては頭が痛い）カテゴリー「Lamest Vendor Response」こと、「ひどいベンダの対応」カテゴリの候補は、

「Remotely exploitable stack overflow in OpenSSH on Novell NetWare」
ZDIのアドバイザリが「リモートからのエクスプロイトが可能なスタックオーバーフローである」と述べているにもかかわらず、Novell側は、単なるDoS攻撃であると言い張ってパッチをリリースするのを拒否していたため、ZDIが仔細をブログで公表して初めてNovel側がパッチをリリースした。

「Magix Music Maker 16 stack overflow」
研究者らがこのバグを発表した際に、ベンダのMagixは「プルーフ・オブ・コンセプトを発表したら研究者らを訴える」と脅迫した。そのため、エクスプロイト無しにアドバイザリが公表されることになった。

「RSA SecurID token compromise」
ハッキングされ、SecurIDのトークンが流出したにもかかわらず、RSA側は大した問題ではないからSecurIDのトークンを交換する必要はないと言い張った。しかし、ロッキードマーティン社のネットワークがハッキングされることになって、やっとのことトークンの交換を行うことにした。

さて、それぞれのカテゴリーの優勝者は誰だろうか？

優勝者は、8月4日以降にWebに掲載される。

（米国　笠原利香）

Pwnie Awards 2011
http://pwnies.com/