当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-081890

漏洞标题:一种猥琐办法结束360主动防御

相关厂商:奇虎360

漏洞作者: 王And木

提交时间:2014-11-04 21:39

修复时间:2014-12-30 14:44

公开时间:2014-12-30 14:44

漏洞类型:默认配置不当

危害等级:中

自评Rank:5

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-11-04: 细节已通知厂商并且等待厂商处理中
2014-11-06: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2014-12-31: 细节向核心白帽子及相关领域专家公开
2015-01-10: 细节向普通白帽子公开
2015-01-20: 细节向实习白帽子公开
2014-12-30: 细节向公众公开

简要描述:

发现一个很简单的方法就可以结束掉360的主动防御

详细说明:

主要针对3609.7.0.2001。其中有一个文件360FileUnlock.exe,可以用命令行去调用。于是去拦截命令行。
"C:\Program Files\360\360safe\Utils\360FileUnlock.exe" /queryfilelist="C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\{E2E433A7-3235-4bcb-BCC3-1C41E5A4D728}.tmp"
得到如上数据。然后我们去看一下这个临时数据
[tag]
tag=1
[filelist]
0=C:\Program Files\360\360safe\deepscan\ZhuDongFangYu.exe
[pathlist]
这样可以出现结束的界面了,剩下的可以对其进行模拟点击然后就可以了。
已测试可行。

漏洞证明:

未命名11.JPG

未命名.JPG

12.JPG


修复方案:

稍微判断下是不是自己的程序就可以把~

版权声明:转载请注明来源 王And木@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-12-30 14:44

厂商回复:

感谢漏洞作者的反馈。昨天接到报告后,我们验证结果是360主动防御能够拦截此攻击方法。之后经过与漏洞作者交流,得悉测试环境为Win7 X64系统并手工提权了UAC,并且没有开启核晶引擎,从而实现了模拟点击攻击。X86系统无此问题。如果开启核晶引擎或没有手工提权UAC,X64系统上也都是无法攻击成功的,因此忽略漏洞。欢迎继续关注和支持360安全,谢谢!

最新状态:

暂无

漏洞评价:

评论

  1. 2014-11-05 00:30 | 老和尚 ( 普通白帽子 | Rank:223 漏洞数:45 | 总有一天,我会骑着雨牛@'雨。踩着一哥@jan...)

    有多猥琐?

  2. 2014-11-05 08:19 | 浮萍 ( 普通白帽子 | Rank:555 漏洞数:118 | 默默潜水)

    能比老和尚还猥琐?

  3. 2014-11-05 09:22 | chock ( 实习白帽子 | Rank:58 漏洞数:15 | 今夜我们都是wooyun人,我们一定要收购长亭)

    来来来,发到我们都是猥琐流去,让大家一起猥琐

  4. 2014-11-05 09:28 | 机器猫 ( 普通白帽子 | Rank:1141 漏洞数:253 | 爱生活、爱腾讯、爱网络!)

    →_→ 有多猥琐?

  5. 2014-11-05 11:40 | 无心、 ( 实习白帽子 | Rank:71 漏洞数:20 | 你不是风儿,我也不是沙,再怎么缠绵也到不...)

    什么时候公开啊。。

  6. 2014-11-06 16:18 | abaddon ( 实习白帽子 | Rank:37 漏洞数:10 | 我叫什么名字)

    原来没公开亚

  7. 2014-11-06 20:30 | 毕月乌 ( 普通白帽子 | Rank:120 漏洞数:16 | 猜猜我是谁?)

    win7我就没见过几个人开UAC的,包括我自己……

  8. 2014-11-06 20:36 | 毕月乌 ( 普通白帽子 | Rank:120 漏洞数:16 | 猜猜我是谁?)

    作为面向小白级用户的桌面安全软件,本就不应该要求用户自己采取正确的安全防护措施,而是尽可能在不安全环境中保护用户的安全。如果每个人都知道如何识别恶意软件,知道正确使用UAC限制程序权限,那还要安全软件做什么?核晶引擎默认不开启,绝大多数win7关闭了UAC,也就是说在实际情况下绝大多数用户是受到威胁的,作为安全厂商难道不应该去解决问题,而不是推卸责任么?

  9. 2014-11-07 09:07 | by灰客 ( 路人 | Rank:20 漏洞数:12 )

    三百六怎么不说去安全模式也不行呢?

  10. 2014-11-09 18:50 | zph ( 普通白帽子 | Rank:235 漏洞数:43 )

    作为面向小白级用户的桌面安全软件,本就不应该要求用户自己采取正确的安全防护措施,而是尽可能在不安全环境中保护用户的安全。如果每个人都知道如何识别恶意软件,知道正确使用UAC限制程序权限,那还要安全软件做什么?核晶引擎默认不开启,绝大多数win7关闭了UAC,也就是说在实际情况下绝大多数用户是受到威胁的,作为安全厂商难道不应该去解决问题,而不是推卸责任么?

  11. 2014-11-15 12:31 | Bird ( 实习白帽子 | Rank:60 漏洞数:25 | Stay hungry. Stay foolish.)

    @zph 也不能这么说吧- - UAC一般不是开着的么

  12. 2014-11-15 18:06 | zph ( 普通白帽子 | Rank:235 漏洞数:43 )

    @Bird 现在cpu都是x64的,厂商说x86不能攻击的“鸡肋”情况完全不存在。而且现在用户n多都会关uac,包括我,所以360这么回应完全是推卸责任的表现。

  13. 2014-11-20 11:40 | Bird ( 实习白帽子 | Rank:60 漏洞数:25 | Stay hungry. Stay foolish.)

    @zph 呃,你所的也是。

  14. 2014-12-31 10:33 | idarker ( 路人 | Rank:0 漏洞数:1 | 爱生活,╮(╯▽╰)╭)

    @Bird 我也一直关着UAC (づ ̄3 ̄)づ