欢迎来到天天文库
浏览记录
ID:23214925
大小:830.34 KB
页数:10页
时间:2018-11-05
《紧急通告:网银安全控件远程代码执行漏洞分析 v》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、网银安全控件远程代码执行漏洞分析ContentContent2执行摘要2背景信息4危害程度4分析步骤4检测方法4查看IE浏览器安全设置4检查可信站点区域安全级别5可能的利用方法6分析结果汇总7紧急应对方法7给银行方面的建议7给网银用户的建议7附录8中国银行8中国农业银行8中国建设银行9工商银行网银控件9招商银行9兴业银行10民生银行10威胁情报11关于绿盟科技11执行摘要5月11日,绿盟科技威胁响应中心接报乌云通告,工商银行安全控件可导致远程任意代码执行漏洞(WooYun-2015-96339),考虑到互联网金融
2、当前存在较多的安全性问题2014绿盟科技互联网金融安全报告,http://www.nsfocus.com.cn/news/201505/915.html,并考虑到该漏洞涉及到支付宝安全控件,可能的影响面较大,故迅速展开应急响应工作。111日,接乌云通告该漏洞情况,启动漏洞分析工作。211日,对各银行网银安全控件展开分析及检测工作,并给出应对方法。312日,发布紧急通告,并将分析报告发送给客户及合作伙伴。如果您需要了解更多信息,请联系:•绿盟科技威胁响应中心微博•http://weibo.com/threatresp
3、onse•绿盟科技微博•http://weibo.com/nsfocus•绿盟科技微信号•搜索公众号绿盟科技背景信息该问题起源于乌云平台对工商银行控件安全问题的一处通报乌云,http://wooyun.org/bugs/wooyun-2010-096339,通报指出,该银行的网银控件会降低网银用户电脑中的安全配置(该配置存在于IE浏览器中)。当这台被降低的电脑访问常规条件下的可信网站时,会执行可信网站要求的任意命令,如果该漏洞被攻击者利用,很容易构造跨站攻击,在用户的电脑上执行任意代码。危害程度通俗来说,这个问题可
4、以理解为一台“漏洞放大器”,它自己可能不会造成特严重的危害,但配合上其他漏洞,会放大其他漏洞造成的危害,可以预见的危害有以下几项:•该漏洞涉及网银登录页面,以及可能涉及较为及常见的信任网站(比如淘宝、支付宝等),两者的共同用户很多,可能被攻击的范围较大,危害较大;•网银出于兼容性及可用性的考虑,可能会降低IE安全性设置,由此动作带来的错误设置可能存在于多家银行;•该漏洞是由于网银控件的错误设置,允许在浏览受信任网站时执行任意代码,且没有任何提示,这提升了跨站攻击的威胁程度,用户可能更容易受到伤害;•XSS跨站攻击本
5、身存在易传播性,配合其他漏洞进行组合攻击,将会进一步扩大影响范围分析步骤检测方法为有效应对此漏洞,建议用户尽快通过如下方法检测自己是否已经受到影响。查看IE浏览器安全设置•“启动IE浏览器,找到并点击“工具菜单”-“Internet选项”•在随后出现的对话框中,点选安全标签页•在下面第一个窗口中点击“可信站点”图标10检查可信站点区域安全级别选择该选项后,如果发现红框中的安全级别为“中”,则表明自己所使用的网银控件不存在类似问题,下图是安全情况的样例图。选择该选项后,如果发现红框中的安全级别为“自定义”,则需要通过
6、如下步骤进一步确定问题:•点击“自定义级别”按钮•在新弹出的对话框查看“对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本”这一项•如果选择项为“启用”,则表明存在相应问题下图是存在安全风险的样例图:10可能的利用方法通过上面的分析可以看到,此次漏洞的关键在于这个控件错误的设置,打开了“对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本“选项,从而允许执行任意Javascript代码,那么一个典型的XSS跨站攻击可能是这样的:•构造一个恶意脚本并将其嵌入URL中,发送给被攻击者•被攻击者打开UR
7、L,看到还是银行官网,乃至信任域内的任意网站,比如*.taobao.com•本来这个脚本在本地会受到IE的安全设置的限制无法在执行,默认设置为中级以上•但由于安全控件打开了这道门,恶意脚本已经在后台执行了•那么该脚本完全可能在后台下载木马,进而窃取用户的敏感信息,包括授权、信用卡、账号信息等如果该URL进一步扩散,无论给用户的切身利益,还是对银行的声誉,带来的危害是极其严重的;如果信任域内的网站沦陷,可导致访问该网站的所有用户被挂马,同样是一个一次攻击危害放大的效果。在《2014绿盟科技互联网金融安全报告》中可以看
8、到,在各种常规漏洞中,XSS是出现频率最多的漏洞类型,占到了13%2014绿盟科技互联网金融安全报告,http://www.nsfocus.com.cn/report/2014%20NSFOCUS%20Internet%20Finance%20Security%20Report.pdf。其中主要包括反射型XSS和存储型XSS。跨站脚本漏洞可能会导致网页挂马、
此文档下载收益归作者所有