漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-013688
漏洞标题:奇虎BAPI.DLL本地权限提升漏洞
相关厂商:奇虎360
漏洞作者: 路人甲
提交时间:2012-10-22 00:20
修复时间:2012-10-22 14:34
公开时间:2012-10-22 14:34
漏洞类型:权限提升
危害等级:高
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-10-22: 细节已通知厂商并且等待厂商处理中
2012-10-22: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
使用360的BAPI.DLL绕过一切防御限制手段,任意访问本机所有文件、注册表资源。
详细说明:
BAPI是奇虎360安全卫士中使用的一套API,可以绕过操作系统、其他安全软件的权限限制,直接读取、改写、删除任意文件和注册表,360目前将它用于恶意软件清理、第三方软件卸载等功能。
在安装有360安全卫士的系统中,BAPI.DLL无法被第三方直接使用,但在未安装360安全卫士的系统中,BAPI.DLL没有验证调用者,可以被随意使用,调用接口非常简单,这相当于为恶意软件和其他不明软件提供了一个现成的Rootkit用于突破系统中存在的各种限制,例如:文件ACL、反病毒软件、HIPS系统等。另外,由于BAPI.DLL和其驱动BAPIDRV.sys均有360的数字签名,其他安全软件可能会忽略警告此驱动的安装(至少QQ管家是这样)。
这个漏洞的危险性在于:
1.BAPI的威力过于强大
2.调用接口(API)相当简单
3.模块均有数字签名
同时,由在安装有360的系统上无法工作、在未安装的系统中却能正常工作,这对360之外的安全软件来说简直就是噩梦,恶意软件可使用BAPI删除该安全软件所有文件。
漏洞证明:
QQ管家安装后按照默认设置运行。使用普通手段无法在其目录下,创建目录、删除文件。使用FsForceKill.exe(利用BAPI的程序)可以直接删除QQ管家目录下的任意文件,不会有任何提示。在FsForceKill.exe第一次运行时(安装驱动BAPIDRV.sys),QQ管家没有任何提示。
修复方案:
1.去掉此种危险的突破系统各种限制的功能;
2.在内核驱动、应用层DLL均加入调用者审核机制,防止被非360程序使用BAPI;
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2012-10-22 14:34
厂商回复:
此漏洞不是本地权限提升的客户端安全漏洞。
拥有管理员权限的账户才可以通过BAPI.DLL 安装BAPIDRV.SYS驱动,按照微软<<10 Immutable Laws Of Security>>中Law#6 A computer is only as secure as the administrator is trustworthy ,Admin账户就拥有系统一切操作权限,因此删除任意文件也是正常范围,并非权限得到提升,因此不是本地权限提升漏洞。
BAPI的前身在三年前曾出现过在已经安装360安全软件的环境下(无须再通过管理员权限加载BAPI)的权限审核被绕过,可以直接由非管理员权限的程序调用的情况,这就属于本地权限提升的安全漏洞,脱离360安全软件的环境通过管理员权限安装驱动再利用,并非安全漏洞
从安全软件角度来说, 若BAPI脱离360的保护环境,无论何种审核机制都是无法保证BAPI接口不被利用的,目前国内外的绝大多数安全软件,例如国内的QQ电脑管家、金山毒霸,国外的趋势、McAfee、AVAST、AVG等都有类似的接口,除了安全软件的BAPI驱动,市场上还有许多类似和BAPI一样拥有操作接口和数字签名的驱动程序。透过检验调用者的签名,并不能保证安全可靠性,已经拥有管理权限的程序,可以透过有签名效验的EXE通过各种注入的方式来调用,也能放置一个恶意的DLL让具有签名的EXE调用, 达到欺骗驱动接口验证的机制。
所以一个具有管理员权限的未知程序,可以安装与任意加载一个有合法签名的驱动,也能具备跳过签名效验的能力。在360安全防护体系下,未知程序安装有签名的驱动会被提示拦截的。
在漏洞提交者所提到QQ电脑管家忽略未知程序加载有签名驱动的方式,是属于QQ电脑管家安全防护机制不够周全。
最后我们会考虑如何提高提取单一360文件在无360安全软件下不被利用的成本,但这不是漏洞定义规范中的本地权限提升漏洞。也不在本次漏洞提交的范围内。
最新状态:
暂无