一种猥琐办法结束360主动防御

编号81890
Urlhttp://www.wooyun.org/bug.php?action=view&id=81890
漏洞状态漏洞已经通知厂商但是厂商忽略漏洞
漏洞标题一种猥琐办法结束360主动防御
漏洞类型默认配置不当
厂商奇虎360
白帽子王And木
提交日期2014-11-04 21:39:00
公开日期2014-12-30 14:44:00
修复时间(not set)
确认时间0000-00-00 00:00:00
Confirm Spend-1
漏洞标签
关注数0
收藏数0
白帽评级
白帽自评rank5
厂商评级
厂商评rank0
漏洞简介
发现一个很简单的方法就可以结束掉360的主动防御
漏洞细节

主要针对3609.7.0.2001。其中有一个文件360FileUnlock.exe,可以用命令行去调用。于是去拦截命令行。
"C:\Program Files\360\360safe\Utils\360FileUnlock.exe" /queryfilelist="C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\{E2E433A7-3235-4bcb-BCC3-1C41E5A4D728}.tmp"
得到如上数据。然后我们去看一下这个临时数据
[tag]
tag=1
[filelist]
0=C:\Program Files\360\360safe\deepscan\ZhuDongFangYu.exe
[pathlist]
这样可以出现结束的界面了,剩下的可以对其进行模拟点击然后就可以了。
已测试可行。

POC

未命名11.JPG

未命名.JPG

12.JPG


修复方案

稍微判断下是不是自己的程序就可以把~

状态信息 2014-11-04: 细节已通知厂商并且等待厂商处理中
2014-11-06: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2014-12-31: 细节向核心白帽子及相关领域专家公开
2015-01-10: 细节向普通白帽子公开
2015-01-20: 细节向实习白帽子公开
2014-12-30: 细节向公众公开
厂商回复感谢漏洞作者的反馈。昨天接到报告后,我们验证结果是360主动防御能够拦截此攻击方法。之后经过与漏洞作者交流,得悉测试环境为Win7 X64系统并手工提权了UAC,并且没有开启核晶引擎,从而实现了模拟点击攻击。X86系统无此问题。如果开启核晶引擎或没有手工提权UAC,X64系统上也都是无法攻击成功的,因此忽略漏洞。欢迎继续关注和支持360安全,谢谢!
回应信息危害等级:无影响厂商忽略忽略时间:2014-12-30 14:44
Showing 1-14 of 14 items.
评论内容评论人点赞数评论时间

@Bird 我也一直关着UAC (づ ̄3 ̄)づ

idarker02014-12-31 10:33:00

@zph 呃,你所的也是。

Bird02014-11-20 11:40:00

@Bird 现在cpu都是x64的,厂商说x86不能攻击的“鸡肋”情况完全不存在。而且现在用户n多都会关uac,包括我,所以360这么回应完全是推卸责任的表现。

zph02014-11-15 18:06:00

@zph 也不能这么说吧- - UAC一般不是开着的么

Bird02014-11-15 12:31:00

作为面向小白级用户的桌面安全软件,本就不应该要求用户自己采取正确的安全防护措施,而是尽可能在不安全环境中保护用户的安全。如果每个人都知道如何识别恶意软件,知道正确使用UAC限制程序权限,那还要安全软件做什么?核晶引擎默认不开启,绝大多数win7关闭了UAC,也就是说在实际情况下绝大多数用户是受到威胁的,作为安全厂商难道不应该去解决问题,而不是推卸责任么?

zph02014-11-09 18:50:00

三百六怎么不说去安全模式也不行呢?

by灰客02014-11-07 09:07:00

作为面向小白级用户的桌面安全软件,本就不应该要求用户自己采取正确的安全防护措施,而是尽可能在不安全环境中保护用户的安全。如果每个人都知道如何识别恶意软件,知道正确使用UAC限制程序权限,那还要安全软件做什么?核晶引擎默认不开启,绝大多数win7关闭了UAC,也就是说在实际情况下绝大多数用户是受到威胁的,作为安全厂商难道不应该去解决问题,而不是推卸责任么?

毕月乌02014-11-06 20:36:00

win7我就没见过几个人开UAC的,包括我自己……

毕月乌02014-11-06 20:30:00

原来没公开亚

abaddon02014-11-06 16:18:00

什么时候公开啊。。

无心、02014-11-05 11:40:00

→_→ 有多猥琐?

机器猫02014-11-05 09:28:00

来来来,发到我们都是猥琐流去,让大家一起猥琐

chock02014-11-05 09:22:00

能比老和尚还猥琐?

浮萍02014-11-05 08:19:00

有多猥琐?

老和尚02014-11-05 00:30:00