360软件管家可导致中间人攻击执行任意代码(需要用户交互前提)

编号97499
Urlhttp://www.wooyun.org/bug.php?action=view&id=97499
漏洞状态厂商已经确认
漏洞标题360软件管家可导致中间人攻击执行任意代码(需要用户交互前提)
漏洞类型远程代码执行
厂商奇虎360
白帽子MITM
提交日期2015-02-16 12:21:00
公开日期2015-05-17 19:50:00
修复时间(not set)
确认时间2015-02-16 00:00:00
Confirm Spend0
漏洞标签客户端安全 中间人攻击
关注数0
收藏数0
白帽评级
白帽自评rank7
厂商评级
厂商评rank5
漏洞简介
360软件管家可导致中间人攻击执行任意代码(需要一定用户交互),版本号:5.1.0.1155
漏洞细节

前提条件:1、攻击者可以监控并修改用户的网络请求(主动型中间人)。
2、用户主动打开360软件管家,并下载任意软件。
3、下载过程中需要有1次用户操作(这个操作并非忽略警告)。
达到效果:1、全程无警告、无UAC、无任何确认操作。
2、以管理员权限自动运行任意exe文件。
以下详解:
我发现360软件管家在下载软件时,第一个请求是:
1)http://softdl.360tpcdn.com/<软件名>/<软件名>_<版本号>.exe,然后这个请求会跳转到
2)http://<IP地址>/softdl.360tpcdn.com/<软件名>/<软件名>_<版本号>.exe。每次跳转的IP地址均不同。之后会向
3)http://agd.p.360.cn/<随机数>.html发送请求。
只要中间人能够劫持2、3请求,就能给用户发送木马病毒。

POC

以下是在本地用Fiddler模拟出中间人攻击的效果:
1、在Fiddler加入下面的规则:

Screenshot (79).png


2、打开360软件管家任意下载一款软件(“下载”、“一键安装”均可):

Screenshot (80).png


3、目录设置,我们正常继续:

Screenshot (71).png


4、继续安装后“正在创建连接”:

Screenshot (72).png


5、这一步很有意思,因为正常安装的情况下不会中途暂停一次。这说明360软件管家应该是发现了下载的文件有问题。我不知道它是不是做了签名校验,但这不重要,因为它只说“已暂停”,而没有任何警告,我想绝大多数用户这时不会有任何怀疑,大部分人一定点播放键继续。

Screenshot (73).png


6、继续下载之后,仍没有任何警告:

Screenshot (75).png


7、然后木马就以管理员权限自动执行了:

Screenshot (76).png


另外附一个首页下载的例子:

Screenshot (77).png


所有网络请求,供参考:

Screenshot (78).png

修复方案

是不是你们在“已暂停”之前有过一次校验,用户继续后忘了校验?如果是的话,在发现有问题时应结束下载,并警告用户。如果压根就没签名校验的话,这个一定要有。

状态信息 2015-02-16: 细节已通知厂商并且等待厂商处理中
2015-02-16: 厂商已经确认,细节仅向厂商公开
2015-02-19: 细节向第三方安全合作伙伴开放
2015-04-12: 细节向核心白帽子及相关领域专家公开
2015-04-22: 细节向普通白帽子公开
2015-05-02: 细节向实习白帽子公开
2015-05-17: 细节向公众公开
厂商回复感谢白帽子报告此问题,这个问题是在用户网络被攻击者完全控制,且需要用户手动交互操作软件管家相关功能的前提下,可能引发执行攻击者的恶意代码。
 
我们将尽快增强针对这类情况下的安全校验机制,避免此问题被攻击者利用。
回应信息危害等级:低漏洞Rank:5 确认时间:2015-02-16 19:48
Showing 1-1 of 1 item.
评论内容评论人点赞数评论时间

安全软件 流氓软件 傻傻分不清楚

乐乐、02015-03-09 09:58:00