Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보[CVE-2018-8495] MS Windows Shell RCE 취약점
작성일 2018-10-26 조회 1250

[CVE-2018-8495] MS Windows Shell RCE Vulnerability

 
 
2018년 10월 09일 CVE-2018-8495 Microsoft Windows Shell Remote Code Execution Vulnerability이 공개 되었다.
 
CVE-2018-8495 취약점은 Windows Shell에서 URI SCHEME을 적절하게 처리하지 못하여 발생한다.
 
취약점을 악용하기 위해 wshfile 프로토콜을 사용하여 SyncAppvPublishingServer.vbs 파일을 실행 시키면 원하는 프로그램, 코드를 실행 시킬 수 있다. 
 
 

PoC

 
현재 공개된 PoC는 C: 하위 경로에 존재하는 SyncAppvPublishingServer.vbs 파일을 실행시켜 parameter로 원하는 파일을 실행시키는 형태를 가지고 있다.  
 
다음 코드는 C:/windows/system32 경로에 존재하는 vbs 파일을 사용한다.
 
 
 
다음 코드는 C:/windows/WinSxS 경로에 존재하는 vbs 파일을 Dos Path의 형태로 사용한다. 
 
 
 

00. FLOW

 
 
CVE-2018-8495 취약점의 전반적인 흐름은 다음 그림과 같다.
 
 
 

01. URI SCHEME

 
URI SCHEME는 http, ftp, https 와 같은 프로토콜으로 URI 표기 방식에서, URI 시작부터 콜론(:) 직전까지를 의미한다. 
 
다양한 프로그램을 사용하다보면 magnet, mailto 와 같은 URI SCHEME을 사용하여 응용프로그램을 실행하는 것을 확인할 수 있는데 해당 프로토콜이 Registry에 URI SCHEME 연결 프로그램으로 등록되어 있기때문이다. 
 
Registry에 등록되어 있는 mailto의 URI SCHEME은 다음과 같다. 
 
 
 
 

02. WSHFile URI SCHEME 

 
WSH(Windows Script Host)는 사용자가 다양한 개체 모델을 사용하여 작업을 수행하기 위해 다양한 언어로 스크립트를 실행할 수 있는 환경을 제공하고 .wsf, .vbs, .js의 확장자를 가진 파일을 실행할 수 있다. 
 
WSHFile 프로토콜을 이용하여 .wsf, .vbs, .js 파일을 실행할 경우 URI SCHEME에 등록되어 있는 WScript.exe를 통해서 파일을 실행하게 된다.
 
 
 

PoC

 
C:/windows/system32 경로에 존재하는 PoC를 살펴보면 
 
 
 
wshfile URI SCHEME 처리를 위해 WScript.exe가 실행되며 test/..~~/SyncAppvPublishingServer.vbs" test test;calc;" 값을 적절하게 검증하지 않고 매개변수로 전달하기 때문에 취약점이 발생하게 된다.
 
 
 

03. SyncAppvPublishingServer.vbs

 
WScript.exe에 의해서 SyncAppvPublishingServer.vbs 파일이 실행된다. 
SyncAppvPublishingServer.vbs에서 공격이 진행되는 코드는 다음과 같다.
 
 
 
PoC는 SyncAppvPublishingServer.vbs을 통해서 powershell을 실행시키고, synCmd 변수에 원하는 파일 또는 코드를 넣어서 Exploit을 성공시킨다. 
 
 
 
 

04. Vender Update 

 
2018년 10월 9일 MicroSoft는 [CVE-2018-8495] Microsoft Windows Shell Remote Code Execution Vulnerability에 대한 보안 업데이트를 진행하였다.
 
Window Shell에서 URI를 처리하는 방식을 수정하여 취약점을 해결하였다.
 
업데이트 전,후 동일한 PoC를 실행시켰을 때의 결과는 다음 그림과 같다.
 
 
 
 

05. 대응 방안

 
Sniper-IPS
[4523] MS Windows WSHFile WSH Injection
[4524] MS Windows WSHFile WSH Injection.A
 
Sniper-UTM
[805374700] MS Windows WSHFile WSH Injection
[805374701] MS Windows WSHFile WSH Injection.A
 
Sniper-APTX
[3774] MS Windows WSHFile WSH Injection
[3775] MS Windows WSHFile WSH Injection

 

 

06. Reference

 
 
 
 
 
첨부파일 첨부파일이 없습니다.
태그   CVE-2018-8495  Windows RCE  WSHFile