コンテンツまでスキップ

脆弱性を抱えたソフトウェアで悪意のあるコードを実行させたら、そのときCrowdStrikeはどうふるまう!?

みなさんこんにちは。亀田です。

皆さんは CrowdStrike をテストするときに、脆弱性を抱えたソフトウェアをインストールしてみたり、その脆弱性をついて外部から任意のコードを実行させてみたりしたくなったことはないでしょうか!?

私はあります。

さっそくやってみる

まずは、前回の記事で作成した環境を使います。今回の検証は、Falcon Spotlightのライセンスを利用します

 

脆弱性のあるソフトウェアのインストール

ChatGPTと相談しながらいろいろ調べているとWinRARの過去のバージョンが、簡単に脆弱性をつくことができそうなので試してみました。当たり前ですが、この記事を読んでいる皆さんは決して今から言うバージョンをインストールしないでください。

公式サイトからは脆弱性のあるバージョンはさすがに消えているようですが、海外の外部ダウンローダーなどを探していると見つけました。

https://filehippo.com/download_winrar/
(本当はフルパスで6.22という脆弱性を抱えているバージョンをダウンロードできるのですが、直接リンクの記載は避けています)

 

Falcon UIでの検知状況

インストールしてしばらく待つと、CrowdStrikeのマネージメントコンソールで無事検知しました。

 

クライアントとサーバの同期ステータスにもよりますが、1時間以内には検知をした感じです。

 

抱えている脆弱性と外部から任意のコードを実行

この脆弱性は、ZIPやRARアーカイブの中に任意のコードを実行可能なファイルを含めておくと、ファイルを受け取ったユーザーがWinRAR上で、圧縮されたファイル(jpgやpdf等)を取り出そうとダブルクリックすると同じ名前のファイルが実行されるという問題を引き起こします。例えば`a.jpg`が圧縮されていた場合、`a.jpg.cmd`を実行させる、ということが可能です。

と、いうことでやってみます。

 

PoC用に公開されているスクリプトをダウンロードします。

git clone https://
cd CVE-2023-38831-winrar-exploit
python cve-2023-38831-exp-gen.py CLASSIFIED_DOCUMENTS.pdf script.bat poc.rar

 

上記を実行すると、`poc.rar`が生成されます。ダブルクリックするとWinRARの画面が立ち上がります。


ここでPDFを開くと画面にPDFが表示されるのですが、実はPDFは呼び出されておらず、裏で同じ名前のフォルダの中のファイルが実行されています。
ではなぜPDFが表示されるかといえば、実行されたファイルが後からPDFを呼び出すことでファイル実行をカムフラージュしています。

つまり2行目で任意のコードを実行させた後、偽装でPDFを呼び出していることでユーザーに気づき辛くしています。
cd %~dp0
calc.exe &
CLASSIFIED_DOCUMENTS.pdf
 

ただしCrowdStrike環境では以下のアラートが出て2行目の実行が停止されます。

 

FalconUIでは以下の通りインシデントが出ています。

 

結論:さすがCrowdStrike

ちゃんと環境は守られているようです。