当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-09482

漏洞标题:中国很多网上银行客户数字证书配置不当

相关厂商:中国很多银行&支付宝

漏洞作者: tpu01yzx

提交时间:2012-07-11 15:14

修复时间:2012-07-16 01:46

公开时间:2012-07-16 01:46

漏洞类型:默认配置不当

危害等级:低

自评Rank:1

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-07-11: 细节已通知厂商并且等待厂商处理中
2012-07-16: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

就是可以使用网上银行和支付宝签发给用户进行身份验证的数字证书进行代码签名。
会有什么危害呢?看那个“数字签名正常”几个字就知道了。除了可以通过浏览器控件的签名验证之外,还可以逃避一下杀毒软件的查杀(目前很多杀软都是忽略“可信任”的软件白名单)

详细说明:

第一张使用的是农业银行发布的数字证书做的code签名


第二张使用的是支付宝发布的数字证书做的code签名


他们对应的根证书自己到官网下载安装,不解释。至于如何做code签名,微软有个signcode.exe,也不解释了。
会有什么危害呢?看那个“数字签名正常”几个字就知道了。除了可以通过浏览器控件的签名验证之外,还可以逃避一下杀毒软件的查杀(目前很多杀软都是忽略“可信任”的软件白名单)

漏洞证明:

第一张使用的是农业银行发布的数字证书做的code签名


第二张使用的是支付宝发布的数字证书做的code签名

修复方案:

别自以为是地自己给自己签名做CA,买个第三方认证的证书不需要花多少钱吧。怕国外的不安全,国内的也有权威的数字认证机构啊,不解释。
或者
给用户签发数字证书的时候,那个“证书的目的”控制一下,比如说:
客户端验证
安全电子邮件
智能卡登录
而不要用默认那个"所有应用程序策略",不解释哈。

版权声明:转载请注明来源 tpu01yzx@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2012-07-16 01:46

厂商回复:

参考评论,对于此类问题暂不进行处置。

漏洞Rank:13 (WooYun评价)

最新状态:

暂无

漏洞评价:

评论

  1. 2012-07-12 14:11 | cncert国家互联网应急中心(乌云厂商)

    这个确认需要一段时间,根据逻辑,根证书身份可信任不等于其签名的个人证书可信任,对于杀软来说,以个人证书签名的软件是否列入信任列表也是存疑的策略。此前,某司也曾向CNVD举报过某司的根证书签发的个人证书可用于制造恶意软件,但未给予确认。不过总体来看,证书的用途也应进行严格限制。

  2. 2012-07-13 11:29 | tpu01yzx ( 实习白帽子 | Rank:58 漏洞数:8 | test)

    @cncert国家互联网应急中心 亲,既然已经有反馈过了,那就直接忽略了吧,确实目前来看还不存在已成事实的危害。

  3. 2012-07-16 01:56 | Anony ( 实习白帽子 | Rank:38 漏洞数:5 | 乌云白帽子一枚)

    已成事实估计也应该是在某些黑阔手里吧?不过证书的策略确实是应该有所限制。

  4. 2012-07-16 09:40 | possible ( 普通白帽子 | Rank:373 漏洞数:32 | everything is possible!)

    @tpu01yzx 有意思 是不是什么程序被签名 都不会被查杀?

  5. 2012-07-16 10:07 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    @tpu01yzx ,这些证书是不是安装控件的时候自动导入到根证书中的?

  6. 2012-07-16 11:15 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @cncert国家互联网应急中心 某司和某司

  7. 2012-07-16 11:16 | cncert国家互联网应急中心(乌云厂商)

    @xsser 互联网企业VS互联网企业

  8. 2012-07-16 15:49 | tpu01yzx ( 实习白帽子 | Rank:58 漏洞数:8 | test)

    @possible 这个由杀软的策略决定……

  9. 2012-07-16 15:50 | tpu01yzx ( 实习白帽子 | Rank:58 漏洞数:8 | test)

    @horseluke 如果你有使用某网上银行或者支付宝的话,应该在那个时候就已经导入了根证书了。

  10. 2012-07-16 15:51 | tpu01yzx ( 实习白帽子 | Rank:58 漏洞数:8 | test)

    @Anony 也只能忽略掉了,至少就目前来看,也还没出现什么大的危害。否则的话全部重新签发证书那该是多大的一项工作啊。

  11. 2012-07-16 15:54 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @tpu01yzx 有危害吧?不是很多人用来做恶意程序来着?

  12. 2012-07-16 15:54 | tpu01yzx ( 实习白帽子 | Rank:58 漏洞数:8 | test)

    @cncert国家互联网应急中心 目测农业银行的根数字证书是1024比特的,而目前768比特的已经不再安全,因此,希望您转发个建议给农行的同志,赶紧升级一下根数字证书吧,我想过不了几年那1024比特的也不安全了,到时的危害可就比现在这个大很多了。

  13. 2012-07-16 15:57 | tpu01yzx ( 实习白帽子 | Rank:58 漏洞数:8 | test)

    @xsser 只有使用了某网上银行的童鞋才会中招,从各大媒体新闻来看,还没有出现有关报道,我是以此来判断目前危害还不大的……

  14. 2012-07-16 16:35 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    @tpu01yzx 假设电脑没有安装那些控件,证书没被导入根,那应该显示不受信任吧?那么推进一步,用这些签名的恶意程序,也应该被显示为不受信任吧?当然,如果搞定向攻击,然后杀软就傻傻地用根来判定,确实挺有效的......

  15. 2012-07-16 16:50 | cncert国家互联网应急中心(乌云厂商)

    @tpu01yzx 您提及的情况已经在更大的范围内预警过,1024bit的美国已经不让用了,放心吧,国内也在跟进了,还会有一些遗留的。

  16. 2012-07-16 17:42 | tpu01yzx ( 实习白帽子 | Rank:58 漏洞数:8 | test)

    @horseluke 就是这样的。