個人的な見解が多いので、スライドの内容を鵜呑みにはしないでください。

1. 濱せっく 出張版 #3
Lightning Talk
2017/08/02
hama(@hama7230)

2. 自己紹介
• hama (@hama7230)
• 東京の大学院でM1
• Capture The Flag
• Tokyo Westerns
• pwn担当
1

3. 2

4. 今日の内容
• QEMUの脆弱性について
• QEMU Escapeを取り扱った問題はCTFでも
出題されるようになった
• 0CTF 2017 Finals vm_escape
• QEMU Escape
• WCTF 2017 babyescape
• QEMU Escape
• 最近のQEMU関連のCVEについて紹介
3

5. QEMU
• What is QEMU?
• QEMU is a generic and open source
machine emulator and virtualizer.
www.qemu.org/
4
Hardware
Linux
QEMU QEMU
Guest OS Guest OS

6. QEMU Escape
• QEMUの脆弱性を突いて、ホスト側で
任意の処理を実行すること
5
Hardware
Linux
QEMU QEMU
Guest OS Guest OS
host machineへ攻撃
任意コード
実行

7. VENOM(CVE-2015-3456)
• virtual Floppy Disk Controller (FDC)にバグ
• 任意コード実行ができ、多くの仮想化環境
に刺さった
• KVM, Xen, QEMU
• 専用サイトも立てられるほど
• http://venom.crowdstrike.com/
6

8. 7
http://venom.crowdstrike.com/

9. QEMU関連のCVE
8
CVE vuln type description
CVE-2017-
7980
Denial Of Service Cirrus CLGD 54xx VGA Emulator support is
vulnerable about out-of-bounds r/w access
CVE-2017-
8309
Denial Of Service AUD_add_capture() allocates two buffers
which get never released.
CVE-2017-
5931
execute arbitrary
code
integer overflow in handling virtio-crypto
requests
CVE-2017-
6058
Denial Of Service Buffer overflow in NetRxPkt::ehdr_buf in
hw/net/net_rx_pkt.c

10. QEMU関連の脆弱性
• 基本的にはエミュレータにバグがある
• DMAを使用する機能に多い気がする
• 任意コード実行のためには
• QEMUが動作しているhost上でのvirtual
addressを取得する関数ポインタなど制御
(RIP)を奪える脆弱性が必要
9

11. QEMU Escape Study
• VM escape - QEMU Case Study
• http://www.phrack.org/papers/vm-
escape-qemu-case-study.html
• KVM/QEMUでのRCE exploit
• CVE-2015-5165
• memory-leak vulnerability
• CVE-2015-7504
• heap-based overflow vulnerability
10

12. まとめ
• 低レイヤに起因する脆弱性はDoSにな
りやすい
• RCEに持ち込まれる可能性も
• QEMU関連の脆弱性
• 物理アドレスを取り扱うコードに存在して
いる
• DMAを使用するところとか
11

13. 以上です。ありがとうございました。
12

14. 宣伝
• Tokyo WesternsはCTFを開催します！
• Tokyo Westerns CTF 3rd 2017
• 2017/09/02 00:00 - 2017/09/04 00:00
(UTC)
• Crypto, Pwning, Programming, Reversing,
Web, ...
• ぜひ参加してみてください！
13