当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-013688

漏洞标题:奇虎BAPI.DLL本地权限提升漏洞

相关厂商:奇虎360

漏洞作者: 路人甲

提交时间:2012-10-22 00:20

修复时间:2012-10-22 14:34

公开时间:2012-10-22 14:34

漏洞类型:权限提升

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-10-22: 细节已通知厂商并且等待厂商处理中
2012-10-22: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

使用360的BAPI.DLL绕过一切防御限制手段,任意访问本机所有文件、注册表资源。

详细说明:

BAPI是奇虎360安全卫士中使用的一套API,可以绕过操作系统、其他安全软件的权限限制,直接读取、改写、删除任意文件和注册表,360目前将它用于恶意软件清理、第三方软件卸载等功能。
在安装有360安全卫士的系统中,BAPI.DLL无法被第三方直接使用,但在未安装360安全卫士的系统中,BAPI.DLL没有验证调用者,可以被随意使用,调用接口非常简单,这相当于为恶意软件和其他不明软件提供了一个现成的Rootkit用于突破系统中存在的各种限制,例如:文件ACL、反病毒软件、HIPS系统等。另外,由于BAPI.DLL和其驱动BAPIDRV.sys均有360的数字签名,其他安全软件可能会忽略警告此驱动的安装(至少QQ管家是这样)。
这个漏洞的危险性在于:
1.BAPI的威力过于强大
2.调用接口(API)相当简单
3.模块均有数字签名
同时,由在安装有360的系统上无法工作、在未安装的系统中却能正常工作,这对360之外的安全软件来说简直就是噩梦,恶意软件可使用BAPI删除该安全软件所有文件。

漏洞证明:

QQ管家安装后按照默认设置运行。使用普通手段无法在其目录下,创建目录、删除文件。使用FsForceKill.exe(利用BAPI的程序)可以直接删除QQ管家目录下的任意文件,不会有任何提示。在FsForceKill.exe第一次运行时(安装驱动BAPIDRV.sys),QQ管家没有任何提示。


修复方案:

1.去掉此种危险的突破系统各种限制的功能;
2.在内核驱动、应用层DLL均加入调用者审核机制,防止被非360程序使用BAPI;

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2012-10-22 14:34

厂商回复:

此漏洞不是本地权限提升的客户端安全漏洞。

拥有管理员权限的账户才可以通过BAPI.DLL 安装BAPIDRV.SYS驱动,按照微软<<10 Immutable Laws Of Security>>中Law#6 A computer is only as secure as the administrator is trustworthy ,Admin账户就拥有系统一切操作权限,因此删除任意文件也是正常范围,并非权限得到提升,因此不是本地权限提升漏洞。

BAPI的前身在三年前曾出现过在已经安装360安全软件的环境下(无须再通过管理员权限加载BAPI)的权限审核被绕过,可以直接由非管理员权限的程序调用的情况,这就属于本地权限提升的安全漏洞,脱离360安全软件的环境通过管理员权限安装驱动再利用,并非安全漏洞

从安全软件角度来说, 若BAPI脱离360的保护环境,无论何种审核机制都是无法保证BAPI接口不被利用的,目前国内外的绝大多数安全软件,例如国内的QQ电脑管家、金山毒霸,国外的趋势、McAfee、AVAST、AVG等都有类似的接口,除了安全软件的BAPI驱动,市场上还有许多类似和BAPI一样拥有操作接口和数字签名的驱动程序。透过检验调用者的签名,并不能保证安全可靠性,已经拥有管理权限的程序,可以透过有签名效验的EXE通过各种注入的方式来调用,也能放置一个恶意的DLL让具有签名的EXE调用, 达到欺骗驱动接口验证的机制。

所以一个具有管理员权限的未知程序,可以安装与任意加载一个有合法签名的驱动,也能具备跳过签名效验的能力。在360安全防护体系下,未知程序安装有签名的驱动会被提示拦截的。
在漏洞提交者所提到QQ电脑管家忽略未知程序加载有签名驱动的方式,是属于QQ电脑管家安全防护机制不够周全。

最后我们会考虑如何提高提取单一360文件在无360安全软件下不被利用的成本,但这不是漏洞定义规范中的本地权限提升漏洞。也不在本次漏洞提交的范围内。

最新状态:

暂无


漏洞评价:

评论

  1. 2012-10-22 01:02 | popok ( 普通白帽子 | Rank:117 漏洞数:24 | nothing)

    这个需要关注一下

  2. 2012-10-22 10:08 | unic02n ( 实习白帽子 | Rank:73 漏洞数:9 | 我是来学习的!)

    再带沙发前排围观!希望能在微博上看到此消息的各种评论。

  3. 2012-10-22 10:38 | shack2 ( 普通白帽子 | Rank:470 漏洞数:71 | QQ:1341413415 一个热爱编程(Java),热爱网...)

    又来一牛

  4. 2012-10-22 11:49 | 无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ‮……肉肉捉活,亭长放解)

    360用未公开API多少次了?