360软件管家可导致中间人攻击执行任意代码(需要用户交互前提)

漏洞概要

缺陷编号:WooYun-2015-097499

漏洞标题:360软件管家可导致中间人攻击执行任意代码(需要用户交互前提)

相关厂商:奇虎360

漏洞作者:MITM

提交时间:2015-02-16 12:21

公开时间:2015-05-17 19:50

漏洞类型:远程代码执行

危害等级:中

自评Rank:7

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2015-02-16: 细节已通知厂商并且等待厂商处理中
2015-02-16: 厂商已经确认,细节仅向厂商公开
2015-02-19: 细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航、无声信息)
2015-04-12: 细节向核心白帽子及相关领域专家公开
2015-04-22: 细节向普通白帽子公开
2015-05-02: 细节向实习白帽子公开
2015-05-17: 细节向公众公开

简要描述:

360软件管家可导致中间人攻击执行任意代码(需要一定用户交互),版本号:5.1.0.1155

详细说明:

前提条件:1、攻击者可以监控并修改用户的网络请求(主动型中间人)。2、用户主动打开360软件管家,并下载任意软件。3、下载过程中需要有1次用户操作(这个操作并非忽略警告)。达到效果:1、全程无警告、无UAC、无任何确认操作。2、以管理员权限自动运行任意exe文件。以下详解:我发现360软件管家在下载软件时,第一个请求是:1)http://**.**.**.**/<软件名>/<软件名>_<版本号>.exe,然后这个请求会跳转到2)http://<IP地址>/**.**.**.**/<软件名>/<软件名>_<版本号>.exe。每次跳转的IP地址均不同。之后会向3)http://**.**.**.**/<随机数>.html发送请求。只要中间人能够劫持2、3请求,就能给用户发送木马病毒。

漏洞证明:

以下是在本地用Fiddler模拟出中间人攻击的效果:1、在Fiddler加入下面的规则:

2、打开360软件管家任意下载一款软件(“下载”、“一键安装”均可):

3、目录设置,我们正常继续:

4、继续安装后“正在创建连接”:

5、这一步很有意思,因为正常安装的情况下不会中途暂停一次。这说明360软件管家应该是发现了下载的文件有问题。我不知道它是不是做了签名校验,但这不重要,因为它只说“已暂停”,而没有任何警告,我想绝大多数用户这时不会有任何怀疑,大部分人一定点播放键继续。

6、继续下载之后,仍没有任何警告:

7、然后木马就以管理员权限自动执行了:

另外附一个首页下载的例子:

所有网络请求,供参考:

修复方案:

是不是你们在“已暂停”之前有过一次校验,用户继续后忘了校验?如果是的话,在发现有问题时应结束下载,并警告用户。如果压根就没签名校验的话,这个一定要有。

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2015-02-1619:48

厂商回复:

感谢白帽子报告此问题,这个问题是在用户网络被攻击者完全控制,且需要用户手动交互操作软件管家相关功能的前提下,可能引发执行攻击者的恶意代码。
 
我们将尽快增强针对这类情况下的安全校验机制,避免此问题被攻击者利用。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 乐乐、 白帽子 | Rank:528 漏洞数:57)

    安全软件 流氓软件 傻傻分不清楚