漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-098445
漏洞标题:支付宝IE安全控件可在用户态下被绕过
相关厂商:阿里巴巴
漏洞作者: MITM
提交时间:2015-02-26 18:24
修复时间:2015-05-29 19:41
公开时间:2015-05-29 19:41
漏洞类型:拒绝服务
危害等级:中
自评Rank:7
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-02-26: 细节已通知厂商并且等待厂商处理中
2015-02-28: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2015-04-24: 细节向核心白帽子及相关领域专家公开
2015-05-04: 细节向普通白帽子公开
2015-05-14: 细节向实习白帽子公开
2015-05-29: 细节向公众公开
简要描述:
支付宝IE安全控件可在用户态(Ring 3)下被绕过,仍能记录密码,版本号:5.0.0.3597。
详细说明:
上次在 WooYun: 工商银行安全控件可导致远程任意代码执行(新型技术点) 中我说了添加信任域站点的危害,可配合工行网银漏洞导致代码执行。这次反其道而行,我发现其实木马可轻易绕过支付宝的安全控件。非常简单,我发现支付宝控件只有当“Protected Mode”关闭时,才能防得住键盘钩子。当“Protected Mode”开启时,什么用都没有,但是页面还是允许用户输入密码。所以绕过的原理就是将支付宝网站从信任域中去掉即可。Internet域的默认设置是开启“Protected Mode”的。这只需要删除一个注册表键值即可,不需要管理员权限。代码如下:
漏洞证明:
1、写个键盘记录器。或者从http://pastebin.com/GFtq7uU9下载C++源代码,编译,运行。
2、下载、安装控件:https://download.alipay.com/sec/edit/aliedit.exe
3、安装完控件后执行
4、用IE打开https://auth.alipay.com/login/index.htm,输入用户名、密码,然后看记录器目录下的Logs\WinKey.log。
修复方案:
再次证明了添加信任域站点是有百害而无一利的,所以说不要修改权限,不要添加信任站点。想办法在默认IE权限下实现功能吧。实现不了的话,不如不要控件。
顺便请一定允许我捆绑一个与上述漏洞完全无关的问题:你们支付宝能不能更新一下TLS配置?可参考https://www.ssllabs.com/ssltest/analyze.html?d=auth.alipay.com,你们首先不支持TLS 1.2,不支持完全正向保密(PFS),而且优先使用RC4。使用RC4可能你们是为了防止BEAST,但RC4现如今已经弱到不安全的程度了,而且BEAST已经通过1/n-1修复了。3月份的黑帽大会上将有人讲如何仅通过被动监听就能(有一定几率)破解RC4密文[1]。而且IETF已经发布了RFC7465,要求TLS中完全禁用RC4[2]。所以非常希望你们尽快升级,支持TLS 1.2、PFS,并最好关掉RC4,或至少把RC4的优先级放到最低。不要等到RC4的攻击工具出来时再着急关。
[1] https://www.blackhat.com/asia-15/briefings.html#bar-mitzva-attack-breaking-ssl-with-13-year-old-rc4-weakness
[2] https://tools.ietf.org/html/rfc7465
版权声明:转载请注明来源 MITM@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-05-29 19:41
厂商回复:
非常感谢白帽子劳心劳力提供了视频和自己写的键盘记录工具,但是经过验证,我们还是无法复现相关情况验证此安全问题,而且经过代码排查,并没有发现相关判断逻辑能造成该现象,故我们无法确认该漏洞,我们后续会继续关注此问题。感谢您对支付宝安全的支持!
最新状态:
暂无