Security Lab

Уязвимость "Word Mail Merge"

Дата публикации:07.05.2002
Всего просмотров:1608
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:

Введение:

Впервые о данной уязвимости сообщил Georgi Guninski [2]. Microsoft
выпустил hotfix, разрешающий данную проблему, который был включен в
состав SR1a для Microsoft Office.

Проблема:

ERRor обнаружил, что проблема не была решена
полностью и остаются возможности ее использования. 3APA3A
<3APA3A@SECURITY.NNOV.RU> нашел сценарий удаленного использования данной
уязвимости через Outlook Express.

Описание:

В качестве решения проблемы Microsoft решил запретить UNC-имена,
содержащие IP-адреса (типа \\111.111.111.111\) в качестве путей к
документам слияния. Но все еще возможно использовать другие пути
(включая абсолютный и относительные) чтобы открывать макросы без
предупреждений в документах Office 97, 2000 и XP. Эту уязвимость можно
использовать удаленно, если атакующий имеет возможность поместить
документы Word и Access в один каталог или поместить документ Access в
известный каталог и открыть документ Word. Документ Access может иметь
любое расширение - .wav, .html, .txt и т.д. - это не влияет на работу.
Microsoft Office 2000 SR1a + SP2 и Microsoft Office XP SP1 не позволяют
документам слияния открывать файлы слияния из каталогов Temporary
Internet Files, это не позволяет использовать уязвимость для даннызх
версий через Outlook Express или Outlook.

Использование:

Данную уязвимость можно использовать локально или путем социальной
инженерии (например поместив файлы readme.doc, setup.exe и setup.dat в
общую папку, где setup.dat будет файлом Access а setup.exe троянской
программой, при открытии readme.doc setup.exe может быть запущен без
предупреждения). Для тестирования можно запустить файл expl.doc из [4].

Поскольку Outlook Express открывает .doc-файлы без предупреждения и
автоматически, игнорируя установки зоны безопасности, возможно
исопльзовать эту уязвимость удаленно без вмешательства пользователя [5].
Работает следующим образом:
1. Оба файла (.doc и .mdb) прикреплены к письму с расширением .doc
2. Файлы открываются с помощью тега IFRAME что приводит к сохранению
файлов в одном кэше и запуску MS Word.
3. Файл expl.doc через Exploit.doc открывает calc.exe
Поскольку по необъяснимым причинам Internet Explorer 6.0 удаляет два
последних символа из имени файла для этой версии Internet Explorer
приводится отдельный вариант эксплоита.
 

Ссылки:

1. Еще одна уязвимость в MS Office - выполнение кода через Mail Merge
http://www.security.nnov.ru/search/news.asp?binid=415&l=RU
2. Georgi Guninski, MS Word and MS Access vulnerability - executing
arbitrary programs, may be exploited by IE/Outlook
http://www.security.nnov.ru/search/document.asp?docid=518
3. Microsoft Security Bulletin (MS00-071)
Patch Available for "Word Mail Merge" Vulnerability
http://www.microsoft.com/technet/security/bulletin/fq00-071.asp
4. Mail merge vulnerability local POC
http://www.security.nnov.ru/files/mailmerge/2files.zip
5. Mail merge vulnerability Outlook Express POC
http://www.security.nnov.ru/files/mailmerge/2mails.zip
 

Уязвимость обнаружена в MS Office 97, 2000, XP