5月11日,绿盟科技威胁响应中心接报乌云通告,工商银行安全控件可导致远程任意代码执行漏洞(WooYun-2015-96339),考虑到互联网金融当前存在较多的安全性问题 ,并考虑到该漏洞涉及到支付宝安全控件,可能的影响面较大,故迅速展开应急响应工作。

​背景信息

该问题起源于乌云平台对工商银行控件安全问题的一处通报,通报指出,该银行的网银控件会降低网银用户电脑中的安全配置(该配置存在于IE浏览器中)。当这台被降低的电脑访问常规条件下的可信网站时,会执行可信网站要求的任意命令,如果该漏洞被攻击者利用,很容易构造跨站攻击,在用户的电脑上执行任意代码。

危害程度

通俗来说,这个问题可以理解为一台“漏洞放大器”,它自己可能不会造成特严重的危害,但配合上其他漏洞,会放大其他漏洞造成的危害,可以预见的危害有以下几项:

• 该漏洞涉及网银登录页面,以及可能涉及较为及常见的信任网站(比如淘宝、支付宝等),两者的共同用户很多,可能被攻击的范围较大,危害较大;

• 网银出于兼容性及可用性的考虑,可能会降低IE安全性设置,由此动作带来的错误设置可能存在于多家银行;

• 该漏洞是由于网银控件的错误设置,允许在浏览受信任网站时执行任意代码,且没有任何提示,这提升了跨站攻击的威胁程度,用户可能更容易受到伤害;

• XSS跨站攻击本身存在易传播性,配合其他漏洞进行组合攻击,将会进一步扩大影响范围

分析步骤

检测方法

为有效应对此漏洞,建议用户尽快通过如下方法检测自己是否已经受到影响。

查看IE浏览器安全设置

• “启动IE浏览器,找到并点击“工具菜单”- “Internet选项”

• 在随后出现的对话框中,点选安全标签页

•  在下面第一个窗口中点击“可信站点”图标


检查可信站点区域安全级别

选择该选项后,如果发现红框中的安全级别为“中”,则表明自己所使用的网银控件不存在类似问题,下图是安全情况的样例图。

选择该选项后,如果发现红框中的安全级别为“自定义”,则需要通过如下步骤进一步确定问题:

• 点击“自定义级别”按钮

• 在新弹出的对话框查看“对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本”这一项

• 如果选择项为“启用”,则表明存在相应问题

下图是存在安全风险的样例图:

可能的利用方法

通过上面的分析可以看到,此次漏洞的关键在于这个控件错误的设置,打开了“对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本“选项,从而允许执行任意Javascript代码,那么一个典型的XSS跨站攻击可能是这样的:

• 构造一个恶意脚本并将其嵌入URL中,发送给被攻击者

• 被攻击者打开URL,看到还是银行官网,乃至信任域内的任意网站,比如*.taobao.com

• 本来这个脚本在本地会受到IE的安全设置的限制无法在执行,默认设置为中级以上

• 但由于安全控件打开了这道门,恶意脚本已经在后台执行了

• 那么该脚本完全可能在后台下载木马,进而窃取用户的敏感信息,包括授权、信用卡、账号信息等

如果该URL进一步扩散,无论给用户的切身利益,还是对银行的声誉,带来的危害是极其严重的;如果信任域内的网站沦陷,可导致访问该网站的所有用户被挂马,同样是一个一次攻击危害放大的效果。

在《2014绿盟科技互联网金融安全报告》中可以看到,在各种常规漏洞中,XSS是出现频率最多的漏洞类型,占到了13%

。其中主要包括反射型XSS和存储型XSS。跨站脚本漏洞可能会导致网页挂马、用户权限被盗用、钓鱼攻击等多种安全风险。

分析结果汇总

通过上面的分析可以看到,该漏洞可能提升现有漏洞的威胁程度,进而引起大规模网页挂马事件,其危害性极为严重,所以绿盟科技技术人员第一时间对8家银行页面进行了检测,发现工商银行存在控件安全性问题,各行页面详细检测情况截图详见附录。

银行网银页面安全控件分析结果

工行网银存在控件安全性问题

控件所属银行      问题存在情况

中国银行            无问题

农业银行            无问题

中国建设银行     无控件 无问题

中国工商银行     存在

招商银行            无问题

民生银行            无问题

兴业银行            无控件 无问题

紧急应对方法

给银行方面的建议

对自己所属银行的控件进行安装审计(审计方法参考检测方法章节),如发现其修改了IE的安全配置,证明该控件存在类似问题。此时应当联系己方开发人员,取消这一修改配置的功能,并发布新版本控件。如控件自身功能有修改IE的安全配置的需求,也要借助其他功能等价编码实现进行该问题规避,重构后发布新版本控件。

给网银用户的建议

普通用户可以先检查自己的浏览器是否存在类似问题,检查方法同样参考检测方法的章节。

如发现自己的控件存在问题,则应将电脑的IE选项手动修复为默认级别(点击“默认级别”这个按钮即可--------在“自定义级别”旁边)。此后,当银行发布新版本控件时,再进行控件更新即可。

威胁情报

为及时有效的应对各类网络安全事件,绿盟科技一直与各安全机构保持密切合作,包括乌云及CNCert国家互联网应急中心。从此次安全事件的传播情况可以看到,无论其原理怎样,无论防护方案如何实施,关键在于尽可能快的了解到漏洞信息及相关的情报,以便尽可能快的启动应急响应机制。这无论对于解决传统安全或者APT攻击来说都是重要的手段之一,威胁情报的获取及响应都体现了防御能力的建设程度,威胁情报服务体系至少包含了威胁监测及响应、数据分析及整理、业务情报及交付、风险评估及咨询、安全托管及应用等各个方面,涉及研究、产品、服务、运营及营销的各个环节,绿盟科技通过研究、云端、产品、服务等立体的应急响应体系,向企业和组织及时提供威胁情报并持续进行后续服务,保障客户业务的顺畅运行。

如果您对我们提供的内容有任何疑问,或者需要了解更多的信息,可以随时通过在微博、微信中搜索绿盟科技联系我们,欢迎您的垂询!

[1]

乌云,http://wooyun.org/bugs/wooyun-2010-096339

[2]

2014绿盟科技互联网金融安全报告,http://www.nsfocus.com.cn/report/2014 NSFOCUS Internet Finance Security Report.pdf

网银安全控件远程代码执行漏洞分析相关推荐

  1. Joomla远程代码执行漏洞分析小白版(小宇特详解)

    Joomla远程代码执行漏洞分析小白版(小宇特详解) 今天看了一下2021陇原战役WP,在看web方向的时候,看到pop链,想了解一下,后来又看到了p师傅在15年的一篇文章,在这里记录一下.这里主要是 ...

  2. wordpress 5.0.0 远程代码执行漏洞分析cve-2019-8943

    近日,wordpress发布一个安全升级补丁,修复了一个WordPress核心中的远程代码执行漏洞.代码修改细节可以参考wordpress团队于Dec 13, 2018提交的代码.据漏洞披露者文中所介 ...

  3. cve-2019-1821 思科 Cisco Prime 企业局域网管理器 远程代码执行 漏洞分析

    前言 不是所有目录遍历漏洞危害都相同,取决于遍历的用法以及用户交互程度.正如你将看到,本文的这个漏洞类在代码中非常难发现,但可以造成巨大的影响. 这个漏洞存在于思科Prime Infrastructu ...

  4. php excel中解析显示html代码_骑士cms从任意文件包含到远程代码执行漏洞分析

    前言 前些日子,骑士cms 官方公布了一个系统紧急风险漏洞升级通知:骑士cms 6.0.48存在一处任意文件包含漏洞,利用该漏洞对payload文件进行包含,即可造成远程代码执行漏洞.这篇文章将从漏洞 ...

  5. CVE-2012-1876Microsoft Internet Explorer Col元素远程代码执行漏洞分析

    Microsoft Internet Explorer是微软Windows操作系统中默认捆绑的WEB浏览器.         Microsoft Internet Explorer 6至9版本中存在漏 ...

  6. goahead处理json_GoAhead Web Server远程代码执行漏洞分析(附PoC)

    *本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担. 本文是关于GoAhead web server远程代码执行漏洞(CVE-2017- ...

  7. thinkphp v5.0.11漏洞_ThinkPHP 5.0.x-5.0.23、5.1.x、5.2.x 全版本远程代码执行漏洞分析

    阅读: 10,272 1月11日,ThinkPHP官方发布新版本5.0.24,在1月14日和15日又接连发布两个更新,这三次更新都修复了一个安全问题,该问题可能导致远程代码执行 ,这是ThinkPHP ...

  8. Spring Messaging 远程代码执行漏洞分析(CVE-2018-1270)

    文章目录 Spring Messaging 远程命令执行漏洞(CVE-2018-1270) 相关知识 WebSocket.SockJS和STOMP STOMP的消息结构和示例 Spring Messa ...

  9. cve-2018-7600 drupal核心远程代码执行漏洞分析

    0x01 漏洞介绍 Drupal是一个开源内容管理系统(CMS),全球超过100万个网站(包括政府,电子零售,企业组织,金融机构等)使用.两周前,Drupal安全团队披露了一个非常关键的漏洞,编号CV ...

  10. rmi远程代码执行漏洞_Apache Solr反序列化远程代码执行漏洞分析(CVE20190192)

    更多全球网络安全资讯尽在邑安全 www.eansec.com ‍‍‍‍ 0x01 漏洞描述 Solr 是Apache软件基金会开源的搜索引擎框架,其中定义的ConfigAPI允许设置任意的jmx.se ...

最新文章

  1. 区域人工智能集群效果显著 各大省市怎样布局?
  2. Tracer cannot set value trace for type None. Supported types are tensor, tensor list, and tuple
  3. java内部方法调用_Java学习之类方法的外部和内部调用
  4. AttributeError: ‘str‘ object has no attribute ‘read‘
  5. 五、Web服务器——MVC开发模式 EL表达式 JSTL 学习笔记
  6. 超3000岗位!腾讯产业互联网新年大扩招!
  7. 4-2 ADO.NET-查询和检索数据13
  8. git clone大文件EOF错误
  9. java change方法作用_程序员必看之Java中方法的参数传递问题
  10. JAVA_HOME should point to a JDK not a JRE的一个解决办法
  11. 计算机专业国际竞赛,国际计算机竞赛深度剖析
  12. SQL server卸载软件(可修复注册表)
  13. 程序算法之逆推法(口算猴子摘桃问题正解、详解)
  14. 回归评价指标:均方误差根(RMSE)和R平方(R2)
  15. 该不该动手术校正近视?
  16. 我看你骨骼惊奇,是块做CTO的材料! 我看还是不要了
  17. 直播风口,是什么在支撑教育、电商、泛娱乐等场景?
  18. 荐书:《计算机视觉:模型、学习和推理》
  19. 【Java】Java POI 设置Excel单元格上下标
  20. C盘AppData目录文件夹JxBrowser占用90G?

热门文章

  1. 2021最新版谷歌浏览器百度网盘下载
  2. 使用procexp.exe查看线程
  3. 2D人脸识别之Camera篇
  4. 一起学习R软件吧——R软件的使用
  5. java实现pdf转word_Java实现PDF转word
  6. java实现计算器_初学JAVA之实现计算器
  7. 如何让语音芯片与功放芯片之间更好的配合,使得产品音效更好
  8. LTE下行资源分配方式
  9. 外包IT运维面临的问题及挑战
  10. 软件测试工程师常用网站整理汇总