SaAT Netizen開発元自社製セキュリティソフトの更新はSHA-256で保護されている
セキュリティサービスのアンラボ
全てを試したわけではないのだが、AhnLab V3 Internet Security 8.0 で更新プログラムに同じような脆弱性があるか調べてみた。
http://updatealj.durasite.net/ahnjapan/onetouch/patch/ahnpatch.ui
d7=http://updatealj.durasite.net/ahnjapan/onetouch/patch/d7 d8=http://updatealj.durasite.net/ahnjapan/onetouch/patch/d8 d9=http://updatealj.durasite.net/ahnjapan/onetouch/patch/d9 2c=http://updatealj.durasite.net/ahnjapan/onetouch/patch/2c cb=http://updatealj.durasite.net/ahnjapan/onetouch/patch/cb 2d=http://updatealj.durasite.net/ahnjapan/onetouch/patch/2d ee=http://updatealj.durasite.net/ahnjapan/onetouch/patch/ee da=http://updatealj.durasite.net/ahnjapan/onetouch/patch/da <AHNEND:1B613732> |
更新サーバーのアクセスリストの一部を抜粋
ここは偽装できる
しかし、更新ファイル定義については
http://updatealj.durasite.net/ahnjapan/onetouch/patch/04/ahn.ui
ではなく
http://updatealj.durasite.net/ahnjapan/onetouch/patch/04/ahn.uic.ahc
や
http://updatealj.durasite.net/ahnjapan/onetouch/patch/04/ahn.uic
に行く。
ahc ファイルの中身は何かというと
ahn.uic をcab 圧縮して証明書を付加したファイルになっている。
GET /ahnjapan/onetouch/patch/ahnpatch.uic HTTP/1.1 GET /ahnjapan/onetouch/patch/ahnpatch.ui HTTP/1.1 GET /ahnjapan/onetouch/patch/04/ahn.id HTTP/1.1 GET /ahnjapan/onetouch/patch/04/ahn.uic HTTP/1.1 GET /ahnjapan/onetouch/patch/04/ahn.ui HTTP/1.1 GET /ahnjapan/onetouch/patch/04/ahn.ui2.ahc HTTP/1.1 GET /ahnjapan/onetouch/patch/04/ahn.ui.ahc HTTP/1.1 |
AhnTrust.dllに AhnTrust_VerifyAHC という関数があるので、恐らくSHA-256の整合性チェックも行われている
暗号化なしの部分のファイルだけダウンロードできるようにしてみたところ、エラーだと怒られてしまった。
ちゃんと強化された、整合性チェックが行われているのだ
つまり、国際的に利用される自社製セキュリティソフトにはダウンロー ドの定義ファイルの検証がしっかり行われているにもかかわらず、日本の銀行関連企業にリリースした SaAT Netizen のダウンロードの仕組みには、検証システムが組み込まれておらず、容易に中間者攻撃によって管理者権限で任意のプログラムを実行するためのバックドアが故 意に仕込まれていたと考えた方が腑に落ちる。
これ…誰も気付かなくて、サイバーテロが実際に起こっていても、ちゃんとした製品ではなく、無料のサービスだったんだから知らんわって雲隠れされそう(笑)
追記:
V3製品のアップデート構成から、SaAt Netizen の更新プログラムのサーバーを見たら更新サーバーの方には 電子署名されたahcファイルが存在してる。
インストール時は管理者権限で任意のプログラムを実行できる。一方、アップデートについては、その可能性ありという感じ。
次の記事でまとめます。
Comments