MDACの脆弱性(MS06-014)が未だ悪用される理由 〜 Crimepack 開発者とのメールから 〜

Exploit メモ

最近の Web Exploit Kit*1が悪用する脆弱性の主流は、Adobe Reader脆弱性CVE-2009-4324CVE-2010-0188)や Java 環境関連の脆弱性CVE-2008-5353CVE-2010-1423)のようですが、MDAC の脆弱性MS06-014 で修正された CVE-2006-0003)もずっと変わらず悪用されています。2006 年 4 月に修正された脆弱性が現在も継続して悪用されているのが、ずっと気になっています。ふと思い立って、2010 年 3 月に Crimepack 開発者の(ものと思われる)メールアドレスにこの疑問を送ったところ、回答が得られました。記録として日記にまとめます。

なお、このメールのやり取りが信用できるものかは分かりません(誰でも取得可能な Gmail のメールアドレスですし)。「こんな理由もありそうだな」ぐらいの気持ちで読んでほしいです。

メールアドレスを知ったきっかけ

Crimepack 開発者の(ものと思われる)メールアドレスを知ったのは、Malware Domain List の Forum「Crimepack Exploit System」の Postでした。この Post の SysAdmini からの Reply に Crimepack のリリースノート(pastie.org の該当サイト)が紹介されていました。ここから Crimepack 開発者のメールアドレスを知りました。このメールアドレスに僕の疑問を質問として送ることにしました。

下記の画像は、Crimepack のリリースノートが掲載されていた pastie.org の該当サイト画面のハードコピーです。

僕からの質問メール

Crimepack 開発者に以下のようなメールを送りました。内容は、「MDAC の脆弱性は 4 年前に修正されている。だから、この脆弱性を悪用しても成功しないだろう。だが、あなた方の exploit system に限らず、他の exploit system でもこの脆弱性を使っている。なぜexploit system はこの脆弱性を悪用するの?」という思いを稚拙な英語に翻訳したものです。

Hello,

This is kaito.

I have seen your post about exploit system on pastie.org;
the post is the following.
http://pastie.org/pastes/888690

I have a question for the post.Could you answer my question?

Q1.Why MDAC vulnerability is included now?

The vulnerability has been fixed four years ago, so the vulnerability
will not be succeeded. But, exploit code for the vulnerability is not
included in your exploit system, but also other exploit systems.
Why exploit systems use the exploit code?

Sincerely,

なお、英語の Writing に不適切な表現があると思います*2。英語の Writing についての突っ込みは、この日記の趣旨とずれますので、個別にこっそり指摘いただけると嬉しいです。

Crimepack 開発者からの回答メール

質問メールを送ってから 2 週間後、忘れた頃に Crimepack 開発者(と思われる方)から以下のような回答がありました。

hello
MDAC vulnerability is infact included in my exploit system, and sure,
the vulnerability is old but it still is very succesful on offshore
countries (asia mostly) if targetting asian traffic MDAC is the
exploit that will get the most infections compared to all other
exploits
see the following statistics from crimepack 2.8.1 on Indian traffic:

dshow  	iepeers  	msiemc  	pdf  	other  	mdac  	java
62	69	51	148	5	628	53

内容を意訳すると、こんな感じでしょうか。「MDAC の脆弱性を悪用するコードは私たちの exploit system に含まれている。確かにこの脆弱性は過去のものだ。だが、オフショア諸国*3(大体はアジア圏)を対象とした場合、他の exploit コードに比べて MDAC の脆弱性を悪用するコードを使った攻撃はとても成功しやすいんだ。以下の統計は、Crimepack 2.8.1 におけるインドからのアクセス件数だ」Crimepack を使ったことがないので、回答で得られたアクセス件数が何を指すか分かりませんが、MDAC の脆弱性に関するアクセス件数(628)が飛びぬけて多いです。

この回答を信用すると、「オフショア諸国で使われているパソコンには、MDAC の脆弱性が未だに有効」だから、MDAC の脆弱性が悪用されているようです。ただし、この回答を裏付ける、オフショア諸国の OS 普及状況や脆弱性対策(パッチの適用)の実情を僕は知りません。なので、裏づけに乏しい情報になりますね、残念ながら。

*1:この日記では「Web サイトを閲覧するだけで実行される Exploit コードのあつまり」と定義しています。いわゆるガンブラーや Mpack, Crimepack 等が該当します

*2:この日記を書いている時に自分で見つけてしまいました。なんてこった;;

*3:実際には オフショア開発の受注先諸国を指すと思っています