|
一、事件分析: | 4 ` Q3 }3 c: L
| DSW Lab AVERT小组监测到一个高度危险讯雷漏洞被曝光,该漏洞发生在Web迅雷的一个控件上,当安装了Web迅雷的用户在浏览黑客精心构造的包含恶意代码的网页后,会下载任意程序在用户系统上以当前用户上下文权限运行。 | | Web迅雷1.7.3.109版之前的版本均受影响。% q* j- B5 P/ a9 l& i, ^
# t; E! J6 r5 o) K7 [ 根据BCT组织分析,该漏洞产生细节如下:% \, |$ z$ w6 P' E9 v$ T) H
WEB讯雷组件的名称:ThunderServer.webThunder.1,可以采用JS代码ActiveXObject("ThunderServer.webThunder.1");来激活讯雷的组件。其中的关键函数包括:# c R- X7 t4 p4 K' E
SetBrowserWindowData:新建浏览器窗口。
, V* ?; B$ T$ E' V* l' M [5 I SetConfig:设置WEB讯雷。) M- k7 B% p2 _/ e7 f
HideBrowserWindow:隐藏浏览器。2 G' ~( C) }5 j' c; f8 l0 T- w5 I
AddTask:添加下载任务。
5 N) n! ]+ l/ x SearchTask:搜索任务,得到任务ID,文件下载状态等详情。9 K4 [* d2 \6 r8 t
OpenFile:根据任务ID,打开文件。
$ A0 r t$ w/ S' `+ n1 N7 }
& N7 y1 e5 y8 A- x 攻击者利用这一系列的函数,已经能完成从下载到运行木马程序的完整过程,实现了一个完整的网页木马功能。, }' p- @1 @" T! d
| 构造的漏洞利用网页截图: , H3 ~& q! H, C6 {/ m% ^5 x# ^
% d: [% e0 j4 w, O
8 ]5 R0 @/ G& m' T q- }- s | | 二、解决方案: | | 1、SetBrowserWindowData 函数验证URL参数是否为本地地址,或者为讯雷官方的地址,避免用户浏览除了本地到官方的URL地址,从而一定程度上防御外来恶意数据。 # A ~3 ^, A* p) S
2、在漏洞曝光后,迅雷官方反应迅速,第一时间推出升级版,请将Web迅雷升级到最新版。
0 C/ ?" @! ~6 A 版本号:1.7.3.109
r' M+ x0 y; X$ R9 B; g4 q; T 下载地址: http://my.xunlei.com/setup.htm
7 ]3 [* W9 t: O& ^2 ~ 3、推荐安装超级巡警防范恶意木马。 | | 注: | | 该漏洞由 Bug.Center.Team 组织发现并公布。( h \0 x+ r! [' z
漏洞发现者:Sobiny[BCT] | | 关于Web迅雷: | | Web迅雷是迅雷公司最新推出的一款基于多资源超线程技术的下载工具,和迅雷5作为专业下载工具的定位不同, web迅雷在设计上更多的考虑了初级用户的使用需求,使用了全网页化的操作界面,更符合互联网用户的操作习惯,带给用户全新的互联网下载体验! |
|
|