网银安全控件远程代码执行漏洞分析
5月11日,绿盟科技威胁响应中心接报乌云通告,工商银行安全控件可导致远程任意代码执行漏洞(WooYun-2015-96339),考虑到互联网金融当前存在较多的安全性问题 ,并考虑到该漏洞涉及到支付宝安全控件,可能的影响面较大,故迅速展开应急响应工作。
背景信息
该问题起源于乌云平台对工商银行控件安全问题的一处通报,通报指出,该银行的网银控件会降低网银用户电脑中的安全配置(该配置存在于IE浏览器中)。当这台被降低的电脑访问常规条件下的可信网站时,会执行可信网站要求的任意命令,如果该漏洞被攻击者利用,很容易构造跨站攻击,在用户的电脑上执行任意代码。
危害程度
通俗来说,这个问题可以理解为一台“漏洞放大器”,它自己可能不会造成特严重的危害,但配合上其他漏洞,会放大其他漏洞造成的危害,可以预见的危害有以下几项:
• 该漏洞涉及网银登录页面,以及可能涉及较为及常见的信任网站(比如淘宝、支付宝等),两者的共同用户很多,可能被攻击的范围较大,危害较大;
• 网银出于兼容性及可用性的考虑,可能会降低IE安全性设置,由此动作带来的错误设置可能存在于多家银行;
• 该漏洞是由于网银控件的错误设置,允许在浏览受信任网站时执行任意代码,且没有任何提示,这提升了跨站攻击的威胁程度,用户可能更容易受到伤害;
• XSS跨站攻击本身存在易传播性,配合其他漏洞进行组合攻击,将会进一步扩大影响范围
分析步骤
检测方法
为有效应对此漏洞,建议用户尽快通过如下方法检测自己是否已经受到影响。
查看IE浏览器安全设置
• “启动IE浏览器,找到并点击“工具菜单”- “Internet选项”
• 在随后出现的对话框中,点选安全标签页
• 在下面第一个窗口中点击“可信站点”图标
检查可信站点区域安全级别
选择该选项后,如果发现红框中的安全级别为“中”,则表明自己所使用的网银控件不存在类似问题,下图是安全情况的样例图。
选择该选项后,如果发现红框中的安全级别为“自定义”,则需要通过如下步骤进一步确定问题:
• 点击“自定义级别”按钮
• 在新弹出的对话框查看“对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本”这一项
• 如果选择项为“启用”,则表明存在相应问题
下图是存在安全风险的样例图:
可能的利用方法
通过上面的分析可以看到,此次漏洞的关键在于这个控件错误的设置,打开了“对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本“选项,从而允许执行任意Javascript代码,那么一个典型的XSS跨站攻击可能是这样的:
• 构造一个恶意脚本并将其嵌入URL中,发送给被攻击者
• 被攻击者打开URL,看到还是银行官网,乃至信任域内的任意网站,比如*.taobao.com
• 本来这个脚本在本地会受到IE的安全设置的限制无法在执行,默认设置为中级以上
• 但由于安全控件打开了这道门,恶意脚本已经在后台执行了
• 那么该脚本完全可能在后台下载木马,进而窃取用户的敏感信息,包括授权、信用卡、账号信息等
如果该URL进一步扩散,无论给用户的切身利益,还是对银行的声誉,带来的危害是极其严重的;如果信任域内的网站沦陷,可导致访问该网站的所有用户被挂马,同样是一个一次攻击危害放大的效果。
在《2014绿盟科技互联网金融安全报告》中可以看到,在各种常规漏洞中,XSS是出现频率最多的漏洞类型,占到了13%
。其中主要包括反射型XSS和存储型XSS。跨站脚本漏洞可能会导致网页挂马、用户权限被盗用、钓鱼攻击等多种安全风险。
分析结果汇总
通过上面的分析可以看到,该漏洞可能提升现有漏洞的威胁程度,进而引起大规模网页挂马事件,其危害性极为严重,所以绿盟科技技术人员第一时间对8家银行页面进行了检测,发现工商银行存在控件安全性问题,各行页面详细检测情况截图详见附录。
银行网银页面安全控件分析结果
工行网银存在控件安全性问题
控件所属银行 问题存在情况
中国银行 无问题
农业银行 无问题
中国建设银行 无控件 无问题
中国工商银行 存在
招商银行 无问题
民生银行 无问题
兴业银行 无控件 无问题
紧急应对方法
给银行方面的建议
对自己所属银行的控件进行安装审计(审计方法参考检测方法章节),如发现其修改了IE的安全配置,证明该控件存在类似问题。此时应当联系己方开发人员,取消这一修改配置的功能,并发布新版本控件。如控件自身功能有修改IE的安全配置的需求,也要借助其他功能等价编码实现进行该问题规避,重构后发布新版本控件。
给网银用户的建议
普通用户可以先检查自己的浏览器是否存在类似问题,检查方法同样参考检测方法的章节。
如发现自己的控件存在问题,则应将电脑的IE选项手动修复为默认级别(点击“默认级别”这个按钮即可--------在“自定义级别”旁边)。此后,当银行发布新版本控件时,再进行控件更新即可。
威胁情报
为及时有效的应对各类网络安全事件,绿盟科技一直与各安全机构保持密切合作,包括乌云及CNCert国家互联网应急中心。从此次安全事件的传播情况可以看到,无论其原理怎样,无论防护方案如何实施,关键在于尽可能快的了解到漏洞信息及相关的情报,以便尽可能快的启动应急响应机制。这无论对于解决传统安全或者APT攻击来说都是重要的手段之一,威胁情报的获取及响应都体现了防御能力的建设程度,威胁情报服务体系至少包含了威胁监测及响应、数据分析及整理、业务情报及交付、风险评估及咨询、安全托管及应用等各个方面,涉及研究、产品、服务、运营及营销的各个环节,绿盟科技通过研究、云端、产品、服务等立体的应急响应体系,向企业和组织及时提供威胁情报并持续进行后续服务,保障客户业务的顺畅运行。
如果您对我们提供的内容有任何疑问,或者需要了解更多的信息,可以随时通过在微博、微信中搜索绿盟科技联系我们,欢迎您的垂询!
[1]
乌云,http://wooyun.org/bugs/wooyun-2010-096339
[2]
2014绿盟科技互联网金融安全报告,http://www.nsfocus.com.cn/report/2014 NSFOCUS Internet Finance Security Report.pdf
网银安全控件远程代码执行漏洞分析相关推荐
- Joomla远程代码执行漏洞分析小白版(小宇特详解)
Joomla远程代码执行漏洞分析小白版(小宇特详解) 今天看了一下2021陇原战役WP,在看web方向的时候,看到pop链,想了解一下,后来又看到了p师傅在15年的一篇文章,在这里记录一下.这里主要是 ...
- wordpress 5.0.0 远程代码执行漏洞分析cve-2019-8943
近日,wordpress发布一个安全升级补丁,修复了一个WordPress核心中的远程代码执行漏洞.代码修改细节可以参考wordpress团队于Dec 13, 2018提交的代码.据漏洞披露者文中所介 ...
- cve-2019-1821 思科 Cisco Prime 企业局域网管理器 远程代码执行 漏洞分析
前言 不是所有目录遍历漏洞危害都相同,取决于遍历的用法以及用户交互程度.正如你将看到,本文的这个漏洞类在代码中非常难发现,但可以造成巨大的影响. 这个漏洞存在于思科Prime Infrastructu ...
- php excel中解析显示html代码_骑士cms从任意文件包含到远程代码执行漏洞分析
前言 前些日子,骑士cms 官方公布了一个系统紧急风险漏洞升级通知:骑士cms 6.0.48存在一处任意文件包含漏洞,利用该漏洞对payload文件进行包含,即可造成远程代码执行漏洞.这篇文章将从漏洞 ...
- CVE-2012-1876Microsoft Internet Explorer Col元素远程代码执行漏洞分析
Microsoft Internet Explorer是微软Windows操作系统中默认捆绑的WEB浏览器. Microsoft Internet Explorer 6至9版本中存在漏 ...
- goahead处理json_GoAhead Web Server远程代码执行漏洞分析(附PoC)
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担. 本文是关于GoAhead web server远程代码执行漏洞(CVE-2017- ...
- thinkphp v5.0.11漏洞_ThinkPHP 5.0.x-5.0.23、5.1.x、5.2.x 全版本远程代码执行漏洞分析
阅读: 10,272 1月11日,ThinkPHP官方发布新版本5.0.24,在1月14日和15日又接连发布两个更新,这三次更新都修复了一个安全问题,该问题可能导致远程代码执行 ,这是ThinkPHP ...
- Spring Messaging 远程代码执行漏洞分析(CVE-2018-1270)
文章目录 Spring Messaging 远程命令执行漏洞(CVE-2018-1270) 相关知识 WebSocket.SockJS和STOMP STOMP的消息结构和示例 Spring Messa ...
- cve-2018-7600 drupal核心远程代码执行漏洞分析
0x01 漏洞介绍 Drupal是一个开源内容管理系统(CMS),全球超过100万个网站(包括政府,电子零售,企业组织,金融机构等)使用.两周前,Drupal安全团队披露了一个非常关键的漏洞,编号CV ...
- rmi远程代码执行漏洞_Apache Solr反序列化远程代码执行漏洞分析(CVE20190192)
更多全球网络安全资讯尽在邑安全 www.eansec.com 0x01 漏洞描述 Solr 是Apache软件基金会开源的搜索引擎框架,其中定义的ConfigAPI允许设置任意的jmx.se ...
最新文章
- 区域人工智能集群效果显著 各大省市怎样布局?
- Tracer cannot set value trace for type None. Supported types are tensor, tensor list, and tuple
- java内部方法调用_Java学习之类方法的外部和内部调用
- AttributeError: ‘str‘ object has no attribute ‘read‘
- 五、Web服务器——MVC开发模式 EL表达式 JSTL 学习笔记
- 超3000岗位!腾讯产业互联网新年大扩招!
- 4-2 ADO.NET-查询和检索数据13
- git clone大文件EOF错误
- java change方法作用_程序员必看之Java中方法的参数传递问题
- JAVA_HOME should point to a JDK not a JRE的一个解决办法
- 计算机专业国际竞赛,国际计算机竞赛深度剖析
- SQL server卸载软件(可修复注册表)
- 程序算法之逆推法(口算猴子摘桃问题正解、详解)
- 回归评价指标:均方误差根(RMSE)和R平方(R2)
- 该不该动手术校正近视?
- 我看你骨骼惊奇,是块做CTO的材料! 我看还是不要了
- 直播风口,是什么在支撑教育、电商、泛娱乐等场景?
- 荐书:《计算机视觉:模型、学习和推理》
- 【Java】Java POI 设置Excel单元格上下标
- C盘AppData目录文件夹JxBrowser占用90G?