漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-096520
漏洞标题:更多网上银行安全控件可导致远程代码执行
相关厂商:国家互联网应急中心
漏洞作者: MITM
提交时间:2015-02-09 18:21
修复时间:2015-05-13 16:54
公开时间:2015-05-13 16:54
漏洞类型:远程代码执行
危害等级:高
自评Rank:18
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-02-09: 细节已通知厂商并且等待厂商处理中
2015-02-12: 厂商已经确认,细节仅向厂商公开
2015-02-15: 细节向第三方安全合作伙伴开放
2015-04-08: 细节向核心白帽子及相关领域专家公开
2015-04-18: 细节向普通白帽子公开
2015-04-28: 细节向实习白帽子公开
2015-05-13: 细节向公众公开
简要描述:
之前报的《工商银行安全控件可导致远程任意代码执行(新型技术点)》被忽略了,感觉很不开心。后来我又以同样思路测试了其他一些网银,有些有同样问题。希望cncert再三考虑一下,感谢!
原报告:http://www.wooyun.org/bugs/wooyun-2015-096339
详细说明:
首先这个被cncert忽略我感到很费解,危害我一会儿再分析。先说我测试其他网银的结果。上下文背景就不重复了,就是改变IE的信任域权限及添加信任网站,导致执行ActiveX的问题。
首先建设银行和光大银行的控件有和工行有类似的表现,直接修改权限。
建设银行:
和工行表现一样:修改设置、添加https网站 http://www.ccb.com/cn/html1/office/ebank/dzb/subject/12/docs/security/CCB_E_Setup_Total_20140819_x64.exe
光大银行:修改Internet zone设置: http://www.cebbank.com/site/resource/cms/2015/01/2015012616221316533.zip
当然你们也许认为Prompt了,用户点确定了,就不是插件的问题了。但我认为这也是漏洞,因为它开在了Internet域,任何网站的XSS都可能被利用,特别是一些可信的网站,更容易欺骗用户点“确定”。微软在博客里已经说了[1]:"When client-side script in a Trusted Sites page invoked an “unsafe” ActiveX, IE displayed the dialog shown below to the user. [...] So what do you suppose users did? [...] Users learned to read the question as, 'Do you want this web page to work correctly so you can do your job?' and always to click 'Yes' – on that and all other such dialogs." 大意是说:“当脚本执行不安全的ActiveX时,IE会弹出警告。但是用户会怎么选择?用户会理解成:你想让页面正常显示吗?然后就点了确定。”虽说这样利用类似钓鱼,但是如果不修复的话,是个隐患,增加了可攻击面,而且这可是代码执行啊。
中国银行:未修改设置,添加http网站 https://dlsev.boc.cn/support/seccwidgets/SecEdit.BOC.exe
中信网银:未修改设置,添加http网站: https://e.bank.ecitic.com/perbank5/download/helpmate/HelpmateSetup.exe
另外我再针对“均已标记https的链接为信任目标”说一点:用了https只能保证这个控件添加的网站不会被中间人利用。而我的两个报告的核心思想是:两个控件,一个改权限,另一个加http网址于信任列表。二者合起来就是中间人攻击。特别是,他们全是金融类网站,很可能用户同时用工行或建行和支付宝,而且使用支付宝本身就要求至少有一张银行卡,如果那张银行卡来自工行或建行,而且开了网银的话,妥妥的中间人攻击受害者。而且我印象中,工行开卡直接帮你免费开网银。全中国第一大银行(工行)+全中国第一大支付平台(支付宝)+全中国第一大浏览器(IE)=远程代码执行。这三方全拥有中国最大用户量,交叉用户得有多少?[2]
而且即使不做中间人攻击,还可以找XSS。哪个加入信任列表里的网站能保证没有存储型XSS?再退一步,就算我找不出XSS,最近不是还曝出IE11的UXSS漏洞?虽说这是微软的责任,可是工行和建行成功地把XSS漏洞升级成代码执行,这不是漏洞?有这么多利用方法,这么大的用户群体,怎么讲“攻击利用存在较高的前提”?
[1] http://blogs.technet.com/b/fdcc/archive/2011/11/03/enabling-initialize-and-script-activex-controls-not-marked-as-safe-in-any-zone-can-get-you-hurt-bad.aspx
[2] http://www.icbc-ltd.com/icbcltd/%e5%85%b3%e4%ba%8e%e6%88%91%e8%a1%8c/%e5%b7%a5%e8%a1%8c%e6%96%b0%e9%97%bb/%e4%b8%ad%e5%9b%bd%e5%b7%a5%e5%95%86%e9%93%b6%e8%a1%8c%e5%85%ac%e5%b8%832013%e5%b9%b4%e5%ba%a6%e7%bb%8f%e8%90%a5%e6%83%85%e5%86%b5.htm: “电子银行客户总数达3.9亿户”
漏洞证明:
不想重复了,中间人攻击的证明在 WooYun: 工商银行安全控件可导致远程任意代码执行(新型技术点) 。
同理可适用于建设银行网银用户。
修复方案:
我再次强调:打开Initialize and script ActiveX controls not marked as safe for scripting,或向信任域加入不加密的HTTP网站,二者之一出现就是严重问题。加的是HTTPS不是修改权限的理由!所以我提以下三点:
1、工行、建行和光大银行控件应立即向用户推送更新,恢复IE信任域和Internet域的默认权限。绝不能打开上述高危选项。
2、支付宝、中国银行、中信银行不应添加HTTP网站于信任列表。其实我觉得即使是HTTPS的网站也不应添加。默认设置下,信任域的权限不比一般权限高到多少呀,你们非要加目的是什么呀。是真需要么?怎么有些网银控件就没加信任也运行好好的?
3、建议国家互联网应急中心对所有网银控件都检查一遍,看有没有同样问题。
我一共测试了:工商银行、建设银行、光大银行、中国银行、民生银行、农业银行、邮政储蓄、中信网银、招商银行、北京银行。除去上面已经提到的,还有:
农业银行、邮政储蓄添加了HTTPS网址于信任列表
民生银行、招商银行、北京银行:未修改权限,未添加任何网站,完全没有问题
版权声明:转载请注明来源 MITM@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:11
确认时间:2015-02-12 16:52
厂商回复:
对于此类风险,目前已经向对应的多家银行通报,征求相关单位对网银产品在技术实现方面的差异以及各家对风险的评估情况,后续再进行更新。先行初步确认一个rank , 11
最新状态:
暂无