[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139ml:01749] Windows File Protection Arbitrary Certificate Chain Vulnerability

To: port139ml@xxxxxxxxxxxxx
Subject: [port139ml:01749] Windows File Protection Arbitrary Certificate Chain Vulnerability
From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Date: Mon, 06 Jan 2003 10:52:27 +0900

Port139 伊原です。

これまた古い話題ですが...

Windows File Protection Arbitrary Certificate Chain Vulnerability
http://www.securiteam.com/windowsntfocus/6L00Q1P6AC.html

WFP は“信用されたルート証明機関”に登録されている Root CA が
発行した証明書によって署名されたコードであれば、自動的に信用
してしまう、ということでしょうか。

例示では GeoTrust Inc. の http://www.freessl.com の SSL 証明書
を利用してコード署名をしているみたいですけど、どなたか試してみ
た方いらっしゃいますでしょうか？
適当なファイルを notepad.exe という名前にして、コード署名して
おき、本物の notepad.exe と入れ替えて WFP が動作しなければ確認
できますかね。

WFP って、Microsoft のデジタル署名であるかを確認していると理解
していたんですけど・・・。

参照
http://www.microsoft.com/winlogo/benefits/signature-benefits.asp
WFP on Windows 2000 and Windows XP. When an attempt is made to
change a protected file, WFP looks up the file signature in a catalog
file to determine if the new file is the correct Microsoft version.
If it is not, the operating system replaces the file with the correct
version from the dllcache directory or the distribution media.

ps
こんなツールがあるんですね、知らなかった...

証明書検査ツール (Chktrust.exe)
http://www.microsoft.com/japan/msdn/library/ja/cptools/html/cpgrfcertificateverificationtoolchktrustexe.asp

---

Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/

Follow-Ups:
- [port139ml:01915] Re: Windows File Protection Arbitrary Certificate Chain Vulnerability
  - From: Hideaki Ihara

Prev by Date: [port139ml:01748] ACiD (ARP Change intrusion Detector)
Next by Date: [port139ml:01750] WIDZ, Wireless Intrusion detection system
Previous by thread: [port139ml:01748] ACiD (ARP Change intrusion Detector)
Next by thread: [port139ml:01915] Re: Windows File Protection Arbitrary Certificate Chain Vulnerability
Index(es):
- Date
- Thread