支付宝IE安全控件可在用户态下被绕过

漏洞概要

缺陷编号:WooYun-2015-098445

漏洞标题:支付宝IE安全控件可在用户态下被绕过

相关厂商:阿里巴巴

漏洞作者:MITM

提交时间:2015-02-26 18:24

公开时间:2015-05-29 19:41

漏洞类型:拒绝服务

危害等级:中

自评Rank:7

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

Tags标签:

漏洞详情

披露状态:

2015-02-26: 细节已通知厂商并且等待厂商处理中
2015-02-28: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航、无声信息)
2015-04-24: 细节向核心白帽子及相关领域专家公开
2015-05-04: 细节向普通白帽子公开
2015-05-14: 细节向实习白帽子公开
2015-05-29: 细节向公众公开

简要描述:

支付宝IE安全控件可在用户态(Ring3)下被绕过,仍能记录密码,版本号:5.0.0.3597。

详细说明:

上次在http://**.**.**.**/bugs/wooyun-2015-096339中我说了添加信任域站点的危害,可配合工行网银漏洞导致代码执行。这次反其道而行,我发现其实木马可轻易绕过支付宝的安全控件。非常简单,我发现支付宝控件只有当“Protected Mode”关闭时,才能防得住键盘钩子。当“Protected Mode”开启时,什么用都没有,但是页面还是允许用户输入密码。所以绕过的原理就是将支付宝网站从信任域中去掉即可。Internet域的默认设置是开启“Protected Mode”的。这只需要删除一个注册表键值即可,不需要管理员权限。代码如下:

漏洞证明:

1、写个键盘记录器。或者从http://**.**.**.**/GFtq7uU9下载C++源代码,编译,运行。2、下载、安装控件:https://**.**.**.**/sec/edit/aliedit.exe3、安装完控件后执行

4、用IE打开https://auth.**.**.**.**/login/index.htm,输入用户名、密码,然后看记录器目录下的Logs\WinKey.log。

修复方案:

再次证明了添加信任域站点是有百害而无一利的,所以说不要修改权限,不要添加信任站点。想办法在默认IE权限下实现功能吧。实现不了的话,不如不要控件。顺便请一定允许我捆绑一个与上述漏洞完全无关的问题:你们支付宝能不能更新一下TLS配置?可参考https://**.**.**.**/ssltest/analyze.html?d=**.**.**.**,你们首先不支持TLS 1.2,不支持完全正向保密(PFS),而且优先使用RC4。使用RC4可能你们是为了防止BEAST,但RC4现如今已经弱到不安全的程度了,而且BEAST已经通过1/n-1修复了。3月份的黑帽大会上将有人讲如何仅通过被动监听就能(有一定几率)破解RC4密文[1]。而且IETF已经发布了RFC7465,要求TLS中完全禁用RC4[2]。所以非常希望你们尽快升级,支持TLS 1.2、PFS,并最好关掉RC4,或至少把RC4的优先级放到最低。不要等到RC4的攻击工具出来时再着急关。[1] https://**.**.**.**/asia-15/briefings.html#bar-mitzva-attack-breaking-ssl-with-13-year-old-rc4-weakness[2] https://**.**.**.**/html/rfc7465

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-05-2919:41

厂商回复:

非常感谢白帽子劳心劳力提供了视频和自己写的键盘记录工具,但是经过验证,我们还是无法复现相关情况验证此安全问题,而且经过代码排查,并没有发现相关判断逻辑能造成该现象,故我们无法确认该漏洞,我们后续会继续关注此问题。感谢您对支付宝安全的支持!

最新状态:

暂无

评价

  1. 2010-01-01 00:00 MITM 白帽子 | Rank:134 漏洞数:18)

    我还是能复现,怎么办?

  2. 2010-01-01 00:00 MITM 白帽子 | Rank:134 漏洞数:18)

    又在其他电脑上测试了一下,大部分确实无法复现,厂商说的没错。向厂商表示道歉。

  3. 2010-01-01 00:00 http://www.wooyun.org/corps/阿里巴巴 白帽子 | Rank:0 漏洞数:0)

    @MITM 客气了,感谢您对阿里安全的关注。