当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2011-01982

漏洞标题:联想驱动控件远程代码执行

相关厂商:联想

漏洞作者: 路人甲

提交时间:2011-04-25 18:17

修复时间:2011-04-30 21:00

公开时间:2011-04-30 21:00

漏洞类型:远程代码执行

危害等级:中

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2011-04-25: 细节已通知厂商并且等待厂商处理中
2011-04-30: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

联想官方提供的远程更新驱动控件存在安全问题,可能导致攻击者利用该控件在联想机器上执行恶意程序

详细说明:



引用的驱动页面为
http://219.142.122.159/IdeaEDriver/driver.html

<meta http-equiv="Content-Type" content="text/html; charset=gb2312" />
		<meta http-equiv="x-ua-compatible" content="ie=7" />
		<title>智能驱动</title>
		<OBJECT ID="creater" WIDTH="0" HEIGHT="0" CLASSID="CLSID:9E2CD2C3-4DDA-4473-B904-B8E6D0DBAB86" CODEBASE="cab/npdueng.cab#Version=2,0,0,1120"></OBJECT>
		<style type="text/css"></style>
		<link href="css/style.css" rel="stylesheet" type="text/css" />
		<script language="javascript">
		</script>
		<script language="JavaScript" src="js/driver.js"></script>

漏洞证明:

http://219.142.122.159/IdeaEDriver/driver.html
在js/driver.js里

var UpdateSearcher, state=1, SearchJob, SearchResult;
var DLState, installState;
var to = "", to1 = "", to2 = "";
var ist = "", ist1 = "", ist2 = "";
var drvUpdate, drvFix, drvDisable;
//timeout
var waitTime=120000; //120Ãë
//timer=setInterval("onProgress()",1000);
//address of pici and driver service
var address = "http://219.142.122.159/PCCareWS/DriverService.svc";
var Pici = "http://219.142.122.159/PCCareWS/PiciManager.svc";
var Satisfaction = "http://219.142.122.159/PCcareMS/survey.aspx?SessionID=";
......


客户端需要更新的驱动和信息都由任意的第三方制定,攻击者只要使用将信息来源指定为自己可控的地方就可以实现攻击了

修复方案:

将驱动的更新来源限制为联想官方自己域名并且不允许第三方自定义

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2011-04-30 21:00

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

2011-05-02:请问攻击者如何将信息来源指定为自己可控的地方?是通过该控件本身的安全缺陷,还是借助另外与此问题无关的其他方法(如入侵主机修改引用页面,ARP欺骗,劫持等等)?欢迎继续讨论,看看我们能做些什么来增强安全。

漏洞评价:

评论

  1. 2011-04-27 21:27 | only_guest 认证白帽子 ( 普通白帽子 | Rank:800 漏洞数:75 | PKAV技术宅社区-专心做技术.PKAV已经暂停...)

    果断卸载....

  2. 2011-05-08 15:21 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    最简单的就是挂马了 写个js定义好address然后调用控件,将信息来源指定为自己可控的地方就可以了

  3. 2011-05-08 21:12 | only_guest 认证白帽子 ( 普通白帽子 | Rank:800 漏洞数:75 | PKAV技术宅社区-专心做技术.PKAV已经暂停...)

    最好写个poc出来

  4. 2011-09-18 19:51 | MythHack ( 实习白帽子 | Rank:33 漏洞数:5 | 当一批小孩使用木马冰河盗取QQ号码并觉得好...)

    危害等级:无影响厂商忽略 怎么都是这个 我靠

  5. 2011-12-06 15:34 | piaoye ( 普通白帽子 | Rank:343 漏洞数:53 | ww)

    这个js是联想服务器的啊,怎么定义?

  6. 2012-01-29 08:53 | zhq445078388 ( 实习白帽子 | Rank:60 漏洞数:19 | 请牢记"杀进程点康姆")

    你入侵下这个服务器看看。。。= =不过如果入侵了,,,改成随便什么 比如首页挂马 都比这个有影响力吧

  7. 2012-01-29 10:52 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @zhq445078388 @piaoye 你们理解错了,注意其中js的那个内容 var address = "http://219.142.122.159/PCCareWS/DriverService.svc";var Pici = "http://219.142.122.159/PCCareWS/PiciManager.svc";var Satisfaction = "http://219.142.122.159/PCcareMS/survey.aspx?SessionID="; 你可以自己在自己页面定义的

  8. 2012-02-08 09:40 | 紫梦芊 ( 普通白帽子 | Rank:138 漏洞数:9 | 踏踏实实做测试)

    CSRF呗~

  9. 2012-07-16 01:35 | Cp0204 ( 实习白帽子 | Rank:37 漏洞数:4 | 著名艺术家)

    @xsser 也就是自己模范一个网站,跟钓鱼差不多