2016年12月3日土曜日

CyVDB-1118関連

脆弱性"&'<<>\ Advent Calendar 2016」3日目の記事です。

今回はCyVDB-1118関連の話です。CyVDB-1118はアップロード型のRFDで、会社のプロファイル画像にScriptタグが入った画像をアップロードし、その画像の拡張子を.htaに変えたリンクを作成することで、htaファイルがダウンロードされるというものです。


これと同じ脆弱性がログインページの背景画像にもありました。ログインページはログインしていなくてもアクセス出来る為、この脆弱性を使って悪意のあるファイルを別のサブドメインやサイボウズを使っていない人にもばら撒くことが出来ました。例えば以下のようにサイボウズのdownloadというサブドメインを取得してログイン画像のURLをばら撒くだけ(現在は修正されている為、画像がダウンロードされます。)。

https://download.cybozu.com/api/screen/loginBackground.do/-/CybozuDesktop_Update.hta

さて、先日ImageGateという画像に見せかけたランサムウェアをSNSなどで拡散し感染させる手法の一部が公開されました。



これと似たバグをサイボウズのキントーンでも見つけました。


動画を見ると分かりますが、メッセージ内の画像をダウンロードして開くと電卓が起動しています。再現方法は、まずキントーンのメッセージで以下のファイルをアップロードします。

https://shhnjk.com/hta.png

アップロードの際、プロキシなどで画像の拡張子をpngからhtaに変えます。するとContent-Typeはimage/pngな為、画像のプレビューが作動します。しかし、ダウンロードするとhtaとしてダウンロードされるので、電卓が起動します。FirefoxのみContent-typeをContent-Dispositionのファイル名より優先するので再現しませんが、それ以外のブラウザでは再現します。残念ながらキントーンのメッセージではhtaファイルをアップロードすること自体は禁止されていない為、このバグは脆弱性として認定されませんでした。

ということで、画像をダウンロードしたら開く前に拡張子を確認しましょう。

ではでは。

0 件のコメント:

コメントを投稿