漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-057910
漏洞标题:从迅雷帐号到个人电脑的入侵-一种特殊的攻击手法
相关厂商:迅雷
漏洞作者: Allmylife
提交时间:2014-04-21 10:32
修复时间:2014-06-05 10:33
公开时间:2014-06-05 10:33
漏洞类型:内容安全
危害等级:中
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-04-21: 细节已通知厂商并且等待厂商处理中
2014-04-24: 厂商已经确认,细节仅向厂商公开
2014-05-04: 细节向核心白帽子及相关领域专家公开
2014-05-14: 细节向普通白帽子公开
2014-05-24: 细节向实习白帽子公开
2014-06-05: 细节向公众公开
简要描述:
仅本地测试,证明可行性,未花时间找实例。
详细说明:
问题出现在迅雷最新的业务-远程下载上。
1、假设某用户下载了最新版的迅雷7.9(其他版本也可以),并且注册了一个迅雷帐号,为了方便控制,他开启了远程下载。(值得庆幸的是,目前远程下载还需要用户手工开启,一定程度上缓解了这个漏洞的危害。)
2、黑客通过其他途径知道了此用户的迅雷帐号和密码。
3、他打开了http://yuancheng.xunlei.com/,输入帐号密码登录了。
4、接下来,新建一个远程任务吧,下载链接填上准备好的木马地址。存储目录下载启动项的路径,/Documents and Settings/Administrator/「开始」菜单/程序/启动/(这里是写启动项,还是dll劫持,还是替换shift后门(同名文件是否覆盖不明)就看个人喜好了,系统版本不知的情况下就都多建几个不同保存路径的任务吧,相信这个不难)
新建远程任务之前。迅雷里面是这样的。
启动项是这样的
任务创建后呢。本机迅雷创建任务啦
成功下载
启动项目录变成这样了
重启之后发生神马大家应该都懂啦。
漏洞证明:
重启啦,木马上线啦。(免杀神马的自己做好啊)
修复方案:
远程下载做好目录限制吧,别自定义了,写死吧。太不安全了。
如果不想写死,就各种过滤吧。
相信随着智能电视,智能路由,手机,pc三屏,四屏,多屏任务数据同步情况越来越多,安全也变的更加复杂。一个密码就可能导致用户所有设备的沦陷啦。
版权声明:转载请注明来源 Allmylife@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:5
确认时间:2014-04-24 12:32
厂商回复:
感谢反馈。从用户逻辑角度上来说,自由选择下载路径是用户的权利,但从安全角度来说,在不影响用户正常使用的前提下应该尽量帮助用户杜绝此类问题,目前产品经理已经采纳此意见,在后续的迭代版本中,我们会认真权衡好相关问题!感谢对迅雷安全的关注。
最新状态:
暂无