灾难级漏洞预警:不小心被开启的上帝模式

2015-05-27 来源:未知 作者:腾讯电脑管家
【文章摘要】近日,国内知名漏洞报告平台乌云公开了一个漏洞信息:《工商银行安全控件可导致远程任意代码执行》,公开不久即引起广泛关注,乌云更是宣称这是一个灾难级的漏洞。

      近日,国内知名漏洞报告平台乌云公开了一个漏洞信息:《工商银行安全控件可导致远程任意代码执行》,公开不久即引起广泛关注,乌云更是宣称这是一个灾难级的漏洞。详细内容如下:

       通常来说银行的安全控件是保护电脑的,但这一次它给大家带来灾难性的安全问题(WooYun-2015-096339)。
 

它做了什么

在 IE 中,有一个「safe mode」,默认配置下它一定是开启状态的,但你装了某些银行的控件后他们会把它关闭,目的是为了用户体验,这么做之后你使用网银时就不再需要再确认加载控件了,更重要的是,这个操作是永久的。

这让我想起 14 年的一个漏洞,通杀 IE 3 - 11:

  • 获取一个 VBScript 函数的内存地址。
  • 通过上一步得到的地址使用第一个漏洞算出「safe mode」的地址。
  • 再使用第二个漏洞将「safe mode」设置为 0,开启「上帝模式」。
     

现在,银行的「安全控件」相当于帮黑客做了这些事。

开启上帝模式后,你浏览器到攻击者的网页时,它可以直接在你的电脑上做任何操作。比如,在电脑上静默下载一个 .exe 然后安装,安装了 .exe 就什么都能干了
 

有关「信任域」

严谨来说这个安全问题的还需要一个信任域站点的 XSS(网页内容注入) ,但相比IE漏洞成本是非常的小。

你装上一些 IE 控件后他们通常会把自己的站点添加到 IE 的信任域内,你现在打开 「IE -> 菜单栏 -> 工具 -> Internet 选项 -> 受信任站点 -> 站点」应该是能看到支付宝以及一些银行相关的站点,这些就是「信任域」了,这里面的站点任意一个页面内容可被控制都可能被黑客利用。


影响范围

  • 浏览器:IE (无版本限制)
  • 银行控件:工商银行 / 建设银行 / 交通银行 / 华夏银行 (持续更新)


     

修复方式

检测脚本和补丁:fix.js(下载后双击运行)

手动修复:
IE -> 菜单栏 -> 工具 -> Internet 选项 -> 受信任站点 -> 点击「默认级别」-> 点击「应用」



-------------------------------------------------------------------------------------------------------





网银的安全如何防范呢?

电脑管家建议:

        对于用户来说,是直接利益关系者,相信用户都是很谨慎的。对于IE安全设置,用户不要轻易去修改,以免埋下安全隐患。

        由于大部分用户并非技术人员,所以用户要养成使用杀毒软件查毒杀毒的习惯,杀毒软件可以给予多重的保护,使电脑陷入危险的概率降到最低。在网银交易时,尽量关闭无相关的程序与网页,不要插上除银行U盾外的存储设备(如U盘),同时不要退出杀毒软件程序。
 
(电脑管家修复截图)


(电脑管家防御支持拦截





下载腾讯电脑管家

电脑管家 V16

全新上线 更轻更快