漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-05475
漏洞标题:农村信用社营业大厅体验机软件设计漏洞
相关厂商:银行大厅体验机
漏洞作者: 悠悠
提交时间:2012-03-23 09:10
修复时间:2012-05-07 09:11
公开时间:2012-05-07 09:11
漏洞类型:非授权访问/认证绕过
危害等级:中
自评Rank:10
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-03-23: 细节已通知厂商并且等待厂商处理中
2012-03-23: 厂商已经确认,细节仅向厂商公开
2012-03-26: 细节向第三方安全合作伙伴开放
2012-05-17: 细节向核心白帽子及相关领域专家公开
2012-05-27: 细节向普通白帽子公开
2012-06-06: 细节向实习白帽子公开
2012-05-07: 细节向公众公开
简要描述:
银行大厅的体验计算机,安装有其自主研发的软件,可以被绕过,从而直接进入计算机获得管理员权限。并且该计算机连接互联网,用户可以下载安装任意软件,从而体验用户的银行账号和密码可被截获,利用账号和密码,无需其他手段可以登录网银直接消费用户存款。
详细说明:
通过其自主研发的软件,用户可以再其软件内访问指定的网站,但是程序有两个问题:
1.程序没有很好的屏蔽鼠标右键,从而用户可以轻易的通过右键的查看当前网页源代码等菜单进入系统。
2.没有对输入法进行限制,或者使用自己的输入法,导致用户可以通过搜狗输入法的链接调出操作系统的IE浏览器,从而进入操作系统。
漏洞已经电联和银行方面,答复立即停用并改进。具体修改情况暂时未知。
漏洞证明:
现场进入后的照片信息,经过测试,可以下载exe程序,可以运行,可以添加用户到管理员组。
修复方案:
1.屏蔽鼠标右键
2.使用自己定义的输入法和屏幕键盘,不要提供输入法的切换。
3.禁止调用IE浏览器,对访问的网址进行限制。
版权声明:转载请注明来源 悠悠@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:6
确认时间:2012-03-23 15:08
厂商回复:
CNVD未能实测,通过图片确认,同时已经将通报银监会信息化主管部门协调处置。
CVSS评分:(AV:L/AC:L/Au:NR/C:N/A:C/I:P/B:N) Score:5.63(最高10分,中危)
即:本地攻击、攻击难度低、不需要用户认证,对可用性造成完全影响,对完整性造成部分影响,未影响机密性。
技术难度系数:1.0(一般)
影响危害系数:1.0(一般)
综合评分:5.63*1.0*1.0=5.63
悠悠同学也加入到Lee同学的阵营中来了。
最新状态:
暂无