|
一、事件分析: |
" T: V, ^9 P" ]8 I( n% z | DSW Lab AVERT小组监测到一个高度危险讯雷漏洞被曝光,该漏洞发生在Web迅雷的一个控件上,当安装了Web迅雷的用户在浏览黑客精心构造的包含恶意代码的网页后,会下载任意程序在用户系统上以当前用户上下文权限运行。 | | Web迅雷1.7.3.109版之前的版本均受影响。2 J: \& R6 J/ ~/ C4 x" k; Z
: ~- x. C# P; G5 V7 V) i2 s 根据BCT组织分析,该漏洞产生细节如下:
0 I0 T* \9 e9 u WEB讯雷组件的名称:ThunderServer.webThunder.1,可以采用JS代码ActiveXObject("ThunderServer.webThunder.1");来激活讯雷的组件。其中的关键函数包括:
. q" ?% F) L# j9 Z' r9 y SetBrowserWindowData:新建浏览器窗口。0 c4 [- Z4 i( \8 D% z: G" n
SetConfig:设置WEB讯雷。
$ o0 f- @% P- h% g5 V- S+ z* M# }0 [ HideBrowserWindow:隐藏浏览器。, r$ i# N6 }1 H8 i% C
AddTask:添加下载任务。
* L# U8 ` R& G8 L6 P SearchTask:搜索任务,得到任务ID,文件下载状态等详情。; v, l! W2 O: Y. m
OpenFile:根据任务ID,打开文件。# g* @' s! T8 \" M3 J' `. s
+ f% ^% p; t V
攻击者利用这一系列的函数,已经能完成从下载到运行木马程序的完整过程,实现了一个完整的网页木马功能。. E8 V! c( ?8 {1 ^$ C4 y2 e
| 构造的漏洞利用网页截图: 9 q+ w" a/ A/ g7 v7 r
N% N& F1 D- B6 n7 L/ @0 n& t
4 b' ~+ c) f# S N- X* Z | | 二、解决方案: | | 1、SetBrowserWindowData 函数验证URL参数是否为本地地址,或者为讯雷官方的地址,避免用户浏览除了本地到官方的URL地址,从而一定程度上防御外来恶意数据。 ( s$ i# W5 G: X' o' m) |8 R1 }2 x
2、在漏洞曝光后,迅雷官方反应迅速,第一时间推出升级版,请将Web迅雷升级到最新版。 . z' }' b" w F3 O
版本号:1.7.3.109 " ]0 |8 @/ D5 m
下载地址: http://my.xunlei.com/setup.htm* k2 X% i) j' l3 F8 @
3、推荐安装超级巡警防范恶意木马。 | | 注: | | 该漏洞由 Bug.Center.Team 组织发现并公布。
# L0 ^6 h% Z7 O. O& Z8 c/ t 漏洞发现者:Sobiny[BCT] | | 关于Web迅雷: | | Web迅雷是迅雷公司最新推出的一款基于多资源超线程技术的下载工具,和迅雷5作为专业下载工具的定位不同, web迅雷在设计上更多的考虑了初级用户的使用需求,使用了全网页化的操作界面,更符合互联网用户的操作习惯,带给用户全新的互联网下载体验! |
|
|