RCEへの近道

X: ＠kawakatz 自己紹介 GMOサイバーセキュリティ byイエラエ株式会社オフェンシブセキュリティ部ペネトレーションテスト課川田柾浩 • 業務領域
（5年目）ツール・マルウェア開発ペネトレーションテスト・レッドチームその他調査・研究 • 資格 • CVE CVE-2023-27966: macOS App Sandbox escape (>$10,000, Apple Inc.) CVE-2024-XXXXX: Remotely accessible TightVNC passwords (GlavSoft LLC) CVE-2024-XXXXX: RCE * 2 + LPE CVE-2024-XXXXX: RCE * 3 (Vuln * 5)

1. 自己紹介 2. メインテーマ 3. 調査目的 4. 脆弱性概要 5. TightVNCとは
6. 解析対象ソフトウェアの選定 7. 名前付きパイプに関する処理の解析 8. PoCの実装 9. TightVNC側の対策 10. CVEの発行 11. タイムライン目次

ü 解析対象ソフトウェアの選定基準 ü 解析対象箇所の特定に至るまでメインテーマ対象選定入力受取入力
解析後続処理

RCE（かLPE）に至る脆弱性の検出を目的としたソフトウェア解析の練習調査目的

TightVNCに対してリモートからパスワードを読み込み可能な脆弱性脆弱性概要

TightVNC 2.8.81 (2023/05/04) インストーラ: https://www.tightvnc.com/download/2.8.81/tightvnc-2.8.81- gpl-setup-64bit.msi ソースコード: https://www.tightvnc.com/download/2.8.81/tightvnc-2.8.81- src-gpl.zip TightVNCとは

対象選定入力受取入力解析後続処理

オープンポート名前付きパイプ解析対象ソフトウェアの選定プログラムに対する入力の入口 5営業日で脆弱性の発見から悪用まで

5900/tcp recv(), recvfrom() WSARecv(), WSARecvFrom() send(), sendto() WSASend(), WSASendTo() tvnserver.exe
-service オープンポート: TCP/UDP通信の入口解析対象ソフトウェアの選定

オープンポート名前付きパイプ解析対象ソフトウェアの選定プログラムに対する入力の入口 5営業日で脆弱性の発見から悪用まで

\\.\pipe\TightVNC_Service_Control tvnserver.exe -service tvnserver.exe –controlservice -slave ConnectNamedPipe(), ReadFile(), WriteFile() 名前付きパイプ:
プロセス間通信の入口解析対象ソフトウェアの選定

ツール # オープンポート - Process Hacker https://processhacker.sourceforge.io/ # 名前付きパイプ -
Get-ProcessPipes.ps1 https://gist.github.com/Wra7h/62b42c8a2219ae94d865c1c2f7196e61 解析対象ソフトウェアの選定

0.0.0.0 5800/tcp: tvnserver.exe –service 0.0.0.0 5900/tcp: tvnserver.exe -service 解析対象ソフトウェアの選定

\\.\pipe\TVN_log_pipe_public_name: tvnserver.exe -service \\.\pipe\TightVNC_Service_Control: tvnserver.exe –service 解析対象ソフトウェアの選定

# tvnserver.exe -service - オープンポート 0.0.0.0 5800/tcp 0.0.0.0 5900/tcp -
名前付きパイプ \\.\pipe\TVN_log_pipe_public_name \\.\pipe\TightVNC_Service_Control 解析対象ソフトウェアの選定

\\.\pipe\TightVNC_Service_Control 解析対象ソフトウェアの選定

\\.\pipe\TightVNC_Service_Control tvnserver-app/TvnServer.cpp 解析対象ソフトウェアの選定

ツール # 動的解析 - x64dbg https://x64dbg.com/ # 静的解析 - IDA
Pro https://hex-rays.com/ida-pro/ - Ghidra https://ghidra-sre.org/ # Windows APIの監視 - Frida https://frida.re/ 名前付きパイプに関する処理の解析

ReadFile関数の呼び出し元特定 Modules CPU 名前付きパイプに関する処理の解析

ReadFile関数の呼び出し元特定サンプルコードで対象の名前付きパイプと紐づく呼び出しであることを確認名前付きパイプに関する処理の解析

Fridaを用いたReadFile関数、WriteFile関数の監視名前付きパイプに関する処理の解析

ReadFile関数の引数名前付きパイプに関する処理の解析

ReadFile関数の呼び出し元特定 Execute till return + Step over (Step into) 名前付きパイプに関する処理の解析

ReadFile関数の呼び出し元特定 Modules 名前付きパイプに関する処理の解析

ReadFile関数の呼び出し元特定 Edit > Segments > Rebase program... 名前付きパイプに関する処理の解析

ReadFile関数の呼び出し元特定 Jump > Jump to address... 名前付きパイプに関する処理の解析

ReadFile関数を呼び出している関数の呼び出し元特定名前付きパイプに関する処理の解析

ReadFile関数で受け取った入力値の扱い名前付きパイプに関する処理の解析

tvnserver-app/ControlClient.cpp > ControlClient::execute() 名前付きパイプに関する処理の解析

server-config-lib/ServerConfig.cpp > ServerConfig::serialize() 名前付きパイプに関する処理の解析

PoCの実装 # 悪用条件 ü SMB（445/tcp）への通信が可能 ü いずれかのユーザとして認証が可能 Active Directory (or
Microsoft Entra ID) # 影響暗号化されたパスワードの読み込み + 復号によってTightVNCに接続可能

PoCの実装

TightVNC側の対策

CVEの発行開発者と連絡が途絶えてしまって、CVEを発行してもらえなかった場合（JPCERT様からご教授いただきました🙇） - Report/Request for Non-CNAs https://www.cve.org/ReportRequest/ReportRequestForNonCNAs

CVEの発行 - Submit a CVE Request https://cveform.mitre.org/

タイムライン 2024/04/20: 脆弱性報告 2024/04/26: 開発者側による脆弱性報告の確認 2024/05/28: TightVNC 2.8.84のリリース 2024/05/28: CVE発行の調整開始
2024/07/12: MITREにCVEの発行申請

RCEへの近道

RCEへの近道

Other Decks in Research

Featured

Transcript