Java Deployment Toolkit Performs Insufficient Validation of Parameters Detection Rule

몇일 전 자바 개발 툴킷 취약점이 나왔죠 (fulldisclosure 에서 처음 본것으로 기억합니다.)

취약점 관련 링크고요..

테스트 페이지죵.

이것을 탐지 하기 위해서는 IDS/IPS에서는 CLSID만 탐지 할 수 밖에 없네요.

오브젝트가 해당 CLSID를 사용하는지 이 객체가 변수를 launch할 때 이 변수안에는 jar파일이 링크되어있는지 검사해야합니다.

변수추적이 불가능하기에 현존하는 IDS/IPS는 오탐을 앉고 CLSID만 봐야겟죠

윈도우 경우

alert tcp any $HTTP_PORT -> any any (flow:established, to_client; content:"clsid:CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA"; nocase;)

Mozilla 경우

alert tcp any $HTTP_PORT -> any any (flow:established, to_client; content:"application/npruntime-scriptable-plugin;deploymenttoolkit"; nocase;)

alert tcp any $HTTP_PORT -> any any (flow:established, to_client; content:"application/java-deployment-toolkit"; nocase;)

보통의 해결방법

- Internet Explorer users can be protected by temporarily setting the killbit
 on CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA. To the best of my knowledge, the
 deployment toolkit is not in widespread usage and is unlikely to impact end
- Mozilla Firefox and other NPAPI based browser users can be protected using
 File System ACLs to prevent access to npdeploytk.dll. These ACLs can also be
 managed via GPO.
Detailed documentation on killbits is provided by Microsoft here
여기서 killbit 방법을 보고 죽이면 되겠죠.

About this entry