LZH ファイルに注意！〜シマンテックが一部の「Lhaca」における脆弱性を発見

シマンテックは、2007年6月26日、「シマンテック セキュリティ情報」として、LZH ファイルに注意するように呼びかける警告を発信した。

シマンテックでは、6月22日に日本のユーザーから LZH ファイルの提出を受け、このファイルを検証した。

その結果、複数の NOP スレッド、シェルコードに似たコードブロック、暗号解読用コード、エンコードされた実行ファイルがアーカイブファイル自体に入っていたことが発見された。ファイルフォーマットを悪用する際に必要な構成要素のすべてが含まれていたとされる。

今回のケースの難点は、脆弱性を持つアプリケーションを見つけることであったが、Symantec Security Response チームに所属する末長政樹氏が行った初期分析により、少なくとも「Lhaca デラックス版バージョン1.20」が脆弱性を持つことが判明した。

この脆弱性は文字列長の確認を適切に行わない strcpy（）の呼び出しが原因。重要なスタックメモリーが上書きされる恐れがあり、制御がシェルコードに移行する。この発生を最大限にするために、シマンテックが入手した「.lzh」ファイルにはコードが2つ含まれている。

テストによると、コピーされる文字列はアーカイブしたファイルの中の一ファイル名のようであるという。

アーカイブ自体は「Trojan.Lhdropper」として検出される。これが「Lhaca デラックス版 1.20」のインストールされた日本語版 Windows XP 上で実行に成功した場合、Windows の Systems フォルダにバックドアが開く。

また別の LZH アーカイブも放出され、これはバックドアが開いた後に開かれる。このアーカイブには、日本で一般的なフォーマットである「一太郎」の無害なドキュメントが含まれている。

明らかにこれが、ユーザに疑問を抱かせないためのトリックであるとシマンテックは述べる。このテクニックは「MS Office」に対する攻撃にも使用され、通常は攻撃が終わった後に無害な Word や Excel ドキュメントが開かれるという。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール