Upgrade to Pro — share decks privately, control downloads, hide ads and more …

RCEへの近道

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for kawakatz kawakatz
July 20, 2024
Research
1
1.7k

 RCEへの近道

Avatar for kawakatz

kawakatz

July 20, 2024
Tweet

Other Decks in Research

See All in Research
[Devfest Incheon 2025] 모두를 위한 친절한 언어모델(LLM) 학습 가이드
Avatar for Beomi beomi
2
1.4k
ブレグマン距離最小化に基づくリース表現量推定: バイアス除去学習の統一理論
Avatar for MasaKat0 masakat0
0
130
AI in Enterprises - Java and Open Source to the Rescue
Avatar for ivargrimstad ivargrimstad
0
1.1k
Proposal of an Information Delivery Method for Electronic Paper Signage Using Human Mobility as the Communication Medium / ICCE-Asia 2025
Avatar for yumulab yumulab
0
160
Self-Hosted WebAssembly Runtime for Runtime-Neutral Checkpoint/Restore in Edge–Cloud Continuum
Avatar for Yuki Nakata chikuwait chikuwait
0
320
POI: Proof of Identity
Avatar for MATSUMOTO Katsuyoshi katsyoshi
0
130
さまざまなAgent FrameworkとAIエージェントの評価
Avatar for Kento.Yamada ymd65536
1
410
20251023_くまもと21の会例会_「車1割削減、渋滞半減、公共交通2倍」をめざして.pdf
Avatar for Traffic Brain trafficbrain
0
180
生成AI による論文執筆サポート・ワークショップ ─ サーベイ/リサーチクエスチョン編 / Workshop on AI-Assisted Paper Writing Support: Survey/Research Question Edition
Avatar for Kenji Saito ks91
PRO
0
140
製造業主導型経済からサービス経済化における中間層形成メカニズムのパラダイムシフト
Avatar for Masatake Yamoto yamotty
0
480
When Learned Data Structures Meet Computer Vision
Avatar for Yusuke Matsui matsui_528
1
2.6k
Tiaccoon: Unified Access Control with Multiple Transports in Container Networks
Avatar for Hiroya Onoe hiroyaonoe
0
550

Featured

See All Featured
Distributed Sagas: A Protocol for Coordinating Microservices
Avatar for Caitie McCaffrey caitiem20
333
22k
Technical Leadership for Architectural Decision Making
Avatar for Kenny Baas-Schwegler baasie
1
240
Visual Storytelling: How to be a Superhuman Communicator
Avatar for David Neal reverentgeek
2
420
Unsuck your backbone
Avatar for Amy Palamountain ammeep
671
58k
Reflections from 52 weeks, 52 projects
Avatar for Jefferson Lam jeffersonlam
356
21k
The #1 spot is gone: here's how to win anyway
Avatar for Tamara Novitovic tamaranovitovic
2
920
Docker and Python
Avatar for Tania Allard trallard
47
3.7k
Applied NLP in the Age of Generative AI
Avatar for Ines Montani inesmontani
PRO
4
2k
Why You Should Never Use an ORM
Avatar for John Nunemaker jnunemaker
PRO
61
9.7k
A Tale of Four Properties
Avatar for Chris Coyier chriscoyier
162
24k
[SF Ruby Conf 2025] Rails X
Avatar for Vladimir Dementyev palkan
0
740
Why Our Code Smells
Avatar for Brandon Keepers bkeepers
PRO
340
58k

Transcript

  1. None
  2. None

  3. X: @kawakatz 自己紹介 GMOサイバーセキュリティ byイエラエ株式会社 オフェンシブセキュリティ部ペネトレーションテスト課 川田 柾浩 • 業務領域

    (5年目) ツール・マルウェア開発 ペネトレーションテスト・レッドチーム その他調査・研究 • 資格 • CVE CVE-2023-27966: macOS App Sandbox escape (>$10,000, Apple Inc.) CVE-2024-XXXXX: Remotely accessible TightVNC passwords (GlavSoft LLC) CVE-2024-XXXXX: RCE * 2 + LPE CVE-2024-XXXXX: RCE * 3 (Vuln * 5)

  4. 1. 自己紹介 2. メインテーマ 3. 調査目的 4. 脆弱性概要 5. TightVNCとは

    6. 解析対象ソフトウェアの選定 7. 名前付きパイプに関する処理の解析 8. PoCの実装 9. TightVNC側の対策 10. CVEの発行 11. タイムライン 目次
  5. None

  6. ü 解析対象ソフトウェアの選定基準 ü 解析対象箇所の特定に至るまで メインテーマ 対象 選定 入力 受取 入力

    解析 後続 処理
  7. None

  8. RCE(かLPE)に至る脆弱性の検出を目的としたソフトウェア解析の練習 調査目的

  9. None

  10. TightVNCに対してリモートからパスワードを読み込み可能な脆弱性 脆弱性概要

  11. None

  12. TightVNC 2.8.81 (2023/05/04) インストーラ: https://www.tightvnc.com/download/2.8.81/tightvnc-2.8.81- gpl-setup-64bit.msi ソースコード: https://www.tightvnc.com/download/2.8.81/tightvnc-2.8.81- src-gpl.zip TightVNCとは

  13. 対象 選定 入力 受取 入力 解析 後続 処理

  14. オープンポート 名前付きパイプ 解析対象ソフトウェアの選定 プログラムに対する入力の入口 5営業日で脆弱性の 発見から悪用まで

  15. オープンポート 名前付きパイプ 解析対象ソフトウェアの選定 プログラムに対する入力の入口 5営業日で脆弱性の 発見から悪用まで

  16. 5900/tcp recv(), recvfrom() WSARecv(), WSARecvFrom() send(), sendto() WSASend(), WSASendTo() tvnserver.exe

    -service オープンポート: TCP/UDP通信の入口 解析対象ソフトウェアの選定

  17. オープンポート 名前付きパイプ 解析対象ソフトウェアの選定 プログラムに対する入力の入口 5営業日で脆弱性の 発見から悪用まで

  18. \\.\pipe\TightVNC_Service_Control tvnserver.exe -service tvnserver.exe –controlservice -slave ConnectNamedPipe(), ReadFile(), WriteFile() 名前付きパイプ:

    プロセス間通信の入口 解析対象ソフトウェアの選定

  19. ツール # オープンポート - Process Hacker https://processhacker.sourceforge.io/ # 名前付きパイプ -

    Get-ProcessPipes.ps1 https://gist.github.com/Wra7h/62b42c8a2219ae94d865c1c2f7196e61 解析対象ソフトウェアの選定

  20. 0.0.0.0 5800/tcp: tvnserver.exe –service 0.0.0.0 5900/tcp: tvnserver.exe -service 解析対象ソフトウェアの選定

  21. \\.\pipe\TVN_log_pipe_public_name: tvnserver.exe -service \\.\pipe\TightVNC_Service_Control: tvnserver.exe –service 解析対象ソフトウェアの選定

  22. # tvnserver.exe -service - オープンポート 0.0.0.0 5800/tcp 0.0.0.0 5900/tcp -

    名前付きパイプ \\.\pipe\TVN_log_pipe_public_name \\.\pipe\TightVNC_Service_Control 解析対象ソフトウェアの選定

  23. # tvnserver.exe -service - オープンポート 0.0.0.0 5800/tcp 0.0.0.0 5900/tcp -

    名前付きパイプ \\.\pipe\TVN_log_pipe_public_name \\.\pipe\TightVNC_Service_Control 解析対象ソフトウェアの選定

  24. \\.\pipe\TightVNC_Service_Control 解析対象ソフトウェアの選定

  25. \\.\pipe\TightVNC_Service_Control tvnserver-app/TvnServer.cpp 解析対象ソフトウェアの選定

  26. \\.\pipe\TightVNC_Service_Control tvnserver-app/TvnServer.cpp 解析対象ソフトウェアの選定

  27. 対象 選定 入力 受取 入力 解析 後続 処理

  28. ツール # 動的解析 - x64dbg https://x64dbg.com/ # 静的解析 - IDA

    Pro https://hex-rays.com/ida-pro/ - Ghidra https://ghidra-sre.org/ # Windows APIの監視 - Frida https://frida.re/ 名前付きパイプに関する処理の解析

  29. ReadFile関数の呼び出し元特定 Modules CPU 名前付きパイプに関する処理の解析

  30. ReadFile関数の呼び出し元特定 サンプルコードで対象の名前付きパイプと紐づく呼び出しであることを確認 名前付きパイプに関する処理の解析

  31. Fridaを用いたReadFile関数、WriteFile関数の監視 名前付きパイプに関する処理の解析

  32. ReadFile関数の引数 名前付きパイプに関する処理の解析

  33. ReadFile関数の呼び出し元特定 Execute till return + Step over (Step into) 名前付きパイプに関する処理の解析

  34. ReadFile関数の呼び出し元特定 Modules 名前付きパイプに関する処理の解析

  35. ReadFile関数の呼び出し元特定 Edit > Segments > Rebase program... 名前付きパイプに関する処理の解析

  36. ReadFile関数の呼び出し元特定 Jump > Jump to address... 名前付きパイプに関する処理の解析

  37. ReadFile関数の呼び出し元特定 Jump > Jump to address... 名前付きパイプに関する処理の解析

  38. 対象 選定 入力 受取 入力 解析 後続 処理

  39. ReadFile関数を呼び出している関数の呼び出し元特定 名前付きパイプに関する処理の解析

  40. ReadFile関数で受け取った入力値の扱い 名前付きパイプに関する処理の解析

  41. ReadFile関数で受け取った入力値の扱い 名前付きパイプに関する処理の解析

  42. ReadFile関数で受け取った入力値の扱い 名前付きパイプに関する処理の解析

  43. 対象 選定 入力 受取 入力 解析 後続 処理

  44. tvnserver-app/ControlClient.cpp > ControlClient::execute() 名前付きパイプに関する処理の解析

  45. tvnserver-app/ControlClient.cpp > ControlClient::execute() 名前付きパイプに関する処理の解析

  46. tvnserver-app/ControlClient.cpp > ControlClient::execute() 名前付きパイプに関する処理の解析

  47. server-config-lib/ServerConfig.cpp > ServerConfig::serialize() 名前付きパイプに関する処理の解析

  48. None

  49. PoCの実装 # 悪用条件 ü SMB(445/tcp)への通信が可能 ü いずれかのユーザとして認証が可能 Active Directory (or

    Microsoft Entra ID) # 影響 暗号化されたパスワードの読み込み + 復号によってTightVNCに接続可能

  50. PoCの実装

  51. PoCの実装

  52. PoCの実装

  53. PoCの実装

  54. PoCの実装

  55. PoCの実装

  56. None

  57. TightVNC側の対策

  58. TightVNC側の対策

  59. None

  60. CVEの発行 開発者と連絡が途絶えてしまって、CVEを発行してもらえなかった場合 (JPCERT様からご教授いただきました🙇) - Report/Request for Non-CNAs https://www.cve.org/ReportRequest/ReportRequestForNonCNAs

  61. CVEの発行 - Submit a CVE Request https://cveform.mitre.org/

  62. None

  63. タイムライン 2024/04/20: 脆弱性報告 2024/04/26: 開発者側による脆弱性報告の確認 2024/05/28: TightVNC 2.8.84のリリース 2024/05/28: CVE発行の調整開始

    2024/07/12: MITREにCVEの発行申請