当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-098445

漏洞标题:支付宝IE安全控件可在用户态下被绕过

相关厂商:阿里巴巴

漏洞作者: MITM

提交时间:2015-02-26 18:24

修复时间:2015-05-29 19:41

公开时间:2015-05-29 19:41

漏洞类型:拒绝服务

危害等级:中

自评Rank:7

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-02-26: 细节已通知厂商并且等待厂商处理中
2015-02-28: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2015-04-24: 细节向核心白帽子及相关领域专家公开
2015-05-04: 细节向普通白帽子公开
2015-05-14: 细节向实习白帽子公开
2015-05-29: 细节向公众公开

简要描述:

支付宝IE安全控件可在用户态(Ring 3)下被绕过,仍能记录密码,版本号:5.0.0.3597。

详细说明:

上次在 WooYun: 工商银行安全控件可导致远程任意代码执行(新型技术点) 中我说了添加信任域站点的危害,可配合工行网银漏洞导致代码执行。这次反其道而行,我发现其实木马可轻易绕过支付宝的安全控件。非常简单,我发现支付宝控件只有当“Protected Mode”关闭时,才能防得住键盘钩子。当“Protected Mode”开启时,什么用都没有,但是页面还是允许用户输入密码。所以绕过的原理就是将支付宝网站从信任域中去掉即可。Internet域的默认设置是开启“Protected Mode”的。这只需要删除一个注册表键值即可,不需要管理员权限。代码如下:

reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\alipay.com" /va /f

漏洞证明:

1、写个键盘记录器。或者从http://pastebin.com/GFtq7uU9下载C++源代码,编译,运行。
2、下载、安装控件:https://download.alipay.com/sec/edit/aliedit.exe
3、安装完控件后执行

reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\alipay.com" /va /f


4、用IE打开https://auth.alipay.com/login/index.htm,输入用户名、密码,然后看记录器目录下的Logs\WinKey.log。

alipay.png

修复方案:

再次证明了添加信任域站点是有百害而无一利的,所以说不要修改权限,不要添加信任站点。想办法在默认IE权限下实现功能吧。实现不了的话,不如不要控件。
顺便请一定允许我捆绑一个与上述漏洞完全无关的问题:你们支付宝能不能更新一下TLS配置?可参考https://www.ssllabs.com/ssltest/analyze.html?d=auth.alipay.com,你们首先不支持TLS 1.2,不支持完全正向保密(PFS),而且优先使用RC4。使用RC4可能你们是为了防止BEAST,但RC4现如今已经弱到不安全的程度了,而且BEAST已经通过1/n-1修复了。3月份的黑帽大会上将有人讲如何仅通过被动监听就能(有一定几率)破解RC4密文[1]。而且IETF已经发布了RFC7465,要求TLS中完全禁用RC4[2]。所以非常希望你们尽快升级,支持TLS 1.2、PFS,并最好关掉RC4,或至少把RC4的优先级放到最低。不要等到RC4的攻击工具出来时再着急关。
[1] https://www.blackhat.com/asia-15/briefings.html#bar-mitzva-attack-breaking-ssl-with-13-year-old-rc4-weakness
[2] https://tools.ietf.org/html/rfc7465

版权声明:转载请注明来源 MITM@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-05-29 19:41

厂商回复:

非常感谢白帽子劳心劳力提供了视频和自己写的键盘记录工具,但是经过验证,我们还是无法复现相关情况验证此安全问题,而且经过代码排查,并没有发现相关判断逻辑能造成该现象,故我们无法确认该漏洞,我们后续会继续关注此问题。感谢您对支付宝安全的支持!

最新状态:

暂无