BMSA-2009-06

Tiếng Việt

English

CẢNH BÁO AN NINH TRĂNG XANH 2009-06

Tiêu đề:Lỗi thực thi mã từ xa trong BKAV eOffice
Mức nguy hại:Nghiêm trọng
Người thông báo:
 Tư vấn Trăng Xanh
Sản phẩm:eOffice v5.1.5
Đã khắc phục trong:
 --

Diễn giải

eOffice -- Văn phòng điện tử là hệ thống phần mềm trao đổi thông tin, điều hành tác nghiệp và quản lý trình duyệt văn bản, hồ sơ công việc trực tuyến trên mạng máy tính.

Chúng tôi đã phát hiện một lỗi nghiêm trọng trong phần mềm eOffice. Lỗi này cho phép kẻ xấu thực thi những đoạn mã độc từ xa mà người dùng không hề hay biết.

Để tận dụng lỗi, kẻ xấu chỉ cần gửi một thư điện tử đặc biệt đến địa chỉ thư của người bị hại. Khi người dùng nhấn vào xem thư này thì mã độc sẽ tự động được thực hiện ngay lập tức. Từ đó, kẻ xấu có thể chiếm toàn quyền điều khiển máy tính của nạn nhân, hoặc thực hiện tấn công từ chối dịch vụ.

Lỗi này tồn tại trong phiên bản 5.1.5 và các phiên bản cũ. Các phiên bản mới hơn cũng có thể vẫn còn lỗi.

Giảm nguy hại

Người dùng có thể giảm thiểu nguy hại bằng cách chuyển qua sử dụng các phần mềm thư điện tử khác ví dụ như phần mềm miễn phí Thunderbird, Sylpheed, Outlook Express hoặc phần mềm Outlook trong bộ phần mềm văn phòng MS Office cho đến khi lỗi đã được khắc phục.

Khắc phục lỗi

Người dùng được khuyến khích liên hệ với nhà sản xuất eOffice trực tiếp để yêu cầu bản vá lỗi.

Quá trình thông báo

Với quá khứ tiếp nhận lỗi tiêu cực (bmsa200806.html), Tư vấn Trăng Xanh quyết định không liên lạc với nhà sản xuất mà liên lạc với cơ quan điều phối cấp quốc gia về ứng cứu sự cố Việt Nam -- VNCERT.

Liên lạc ban đầu:
 

Ngày 01 tháng 08 năm 2009: Gửi thư điện tử cho office@vncert.vn, vncert@mpt.gov.vn, vncert@mic.gov.vn.

Trả lời từ đơn vị điều phối:
 

Ngày 01 tháng 08 năm 2009: Phòng Nghiệp vụ trả lời sẽ là đầu mối phụ trách điều phối vấn đề này từ VNCERT.

Liên lạc chuyên sâu:
 

Ngày 02 tháng 08 năm 2009: VNCERT đề nghị Trăng Xanh chứng minh lỗi.

Ngày 02 tháng 08 năm 2009: Trăng Xanh chứng minh sự tồn tại của lỗi và quay phim lại quá trình tận dụng lỗi.

Ngày 02 tháng 08 năm 2009: Trăng Xanh gửi bản thảo cảnh báo cho VNCERT.

Ngày 07 tháng 08 năm 2009: Trăng Xanh chứng minh sự tồn tại của lỗi với VNCERT và Bộ Thông tin Truyền thông.

Ngày 09 tháng 08 năm 2009: Nguyễn Minh Đức của BKAV yêu cầu cung cấp thông tin kỹ thuật dựa theo thư mời họp khẩn cấp của VNCERT.

Ngày 10 tháng 08 năm 2009: Trăng Xanh trả lời sẽ gặp BKAV tại cuộc họp sắp diễn ra.

Ngày 10 tháng 08 năm 2009: Bộ Thông tin Truyền thông tổ chức cuộc họp khẩn cấp gồm đại diện của Bộ, VNCERT, VNISA, Trăng Xanh, và BKAV để kiểm chứng lỗi trên môi trường độc lập. BKAV đã không tham dự.

Ngày 17 tháng 08 năm 2009: Nguyễn Minh Đức đề nghị Trăng Xanh cung cấp thông tin về lỗi dựa trên tinh thần của công văn từ VNCERT.

Ngày 19 tháng 08 năm 2009: Trăng Xanh trả lời nêu rõ các lý do mà BKAV đã tự từ chối nhận thông tin kỹ thuật về lỗi, đồng thời cũng yêu cầu BKAV gửi công văn chính thức đến Trăng Xanh nếu cần sự giúp đỡ trong việc khắc phục lỗi.

Ngày 24 tháng 08 năm 2009: Nguyễn Minh Đức không trả lời bằng công văn chính thức nên đã bị bỏ qua.

Công bố cộng đồng:
 

Ngày 01 tháng 09 năm 2009

Mã tận dụng:

Không được công bố

Miễn trách nhiệm

Thông tin được cung cấp trong cảnh báo an ninh này được cung cấp "chỉ như vậy" mà không có bất kỳ một đảm bảo nào. Công ty TNHH Tư vấn Trăng Xanh không nhận bất kỳ trách nhiệm gì, cho dù là được nói rõ hoặc ngụ ý, bao gồm trách nhiệm về tính phù hợp và khả năng thương mại cho bất kỳ mục đích nào. Việc sử dụng thông tin trong cảnh báo này, hoặc các tài liệu được liên kết đến từ cảnh báo này là hoàn toàn phụ thuộc vào người dùng. Công ty TNHH Tư vấn Trăng Xanh giữ quyền thay đổi hoặc cập nhật thông báo này vào bất kỳ thời điểm nào.


BLUE MOON SECURITY ADVISORY 2009-06

Title:Remote code execution in BKAV eOffice
Severity:Critical
Reporter:Blue Moon Consulting
Products:eOffice v5.1.5
Fixed in:--

Description

We could not find out the definitive description for eOffice in English. This is our own understanding of the application: eOffice is an IMAP email client.

We have discovered a remote code execution vulnerability in eOffice. The attacker could force an unknowning user to execute arbitrary code.

To exploit this bug, an attacker only needs to send a specially-crafted email to his target's address. When the victim clicks on the email, malicious code will run immediately. From there, the attacker might take full control of the machine, or simply cause a Denial of Service.

This vulnerability exists in versions up to 5.1.5. Newer version might also be affected.

Workaround

Current eOffice users are strongly advised to switch to other email clients such as the free Thunderbird, Sylpheed, Outlook Express, or commercial Outlook in the MS Office suite until the bug has been resolved.

Fix

Customers are advised to contact and request a fix directly from the vendor.

Disclosure

Due to negative response in previous report (bmsa200806.html), Blue Moon Consulting decided not to report this bug to the vendor but contacted the Vietnam Computer Emergency Response Team -- VNCERT.

Initial contact:
 

August 01, 2009: Initial security alert sent to office@vncert.vn, vncert@mpt.gov.vn, vncert@mic.gov.vn

Co-ordinator response:
 

August 01, 2009: Operation team replied that it would be the point of contact for VNCERT.

Further communication:
 

August 02, 2009: VNCERT requested proof of vulnerability.

August 02, 2009: Blue Moon Consulting showed and recorded the proof of concept exploit.

August 02, 2009: Blue Moon Consulting sent a draft advisory to VNCERT.

August 07, 2009: Blue Moon Consulting showed the proof of concept exploit under close observation of VNCERT and Ministry of Information and Communications.

August 09, 2009: Nguyen Minh Duc from BKAV requested us to provide technical details prior to the emergency meeting called for by VNCERT.

August 10, 2009: Blue Moon Consulting requested to discuss with BKAV at the meeting.

August 10, 2009: Ministry of Information and Communications held an emergency meeting comprising of representatives from the Ministry, VNCERT, VNISA, Blue Moon Consulting, and BKAV to verify the vulnerability in an independent environment. BKAV refused to attend the meeting.

August 17, 2009: Nguyen Minh Duc asked Blue Moon Consulting to provide more technical information about the vulnerability based on VNCERT's request.

August 19, 2009: Blue Moon Consulting replied with clear reasons why BKAV had voluntarily denied itself from such information. Blue Moon Consulting also requested that written request should be made if further assistance was required.

August 24, 2009: Nguyen Minh Duc did not use official communication channel, and therefore was ignored.

Public disclosure:
 

September 01, 2009

Exploit code:

No exploit code provided.

Disclaimer

The information provided in this advisory is provided "as is" without warranty of any kind. Blue Moon Consulting Co., Ltd disclaims all warranties, either express or implied, including the warranties of merchantability and fitness for a particular purpose. Your use of the information on the advisory or materials linked from the advisory is at your own risk. Blue Moon Consulting Co., Ltd reserves the right to change or update this notice at any time.