当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0141401

漏洞标题:百度软件管理可信路径劫持

相关厂商:百度

漏洞作者: 路人甲

提交时间:2015-09-17 10:48

修复时间:2015-12-20 15:12

公开时间:2015-12-20 15:12

漏洞类型:设计错误/逻辑缺陷

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-09-17: 细节已通知厂商并且等待厂商处理中
2015-09-21: 厂商已经确认,细节仅向厂商公开
2015-09-24: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航
2015-11-15: 细节向核心白帽子及相关领域专家公开
2015-11-25: 细节向普通白帽子公开
2015-12-05: 细节向实习白帽子公开
2015-12-20: 细节向公众公开

简要描述:

百度软件管理进程创建参数设置不当,导致路径截断,一共两处。

详细说明:

漏洞1:
调用CreateProcess这个API时,由于没有使用双引号包围参数路径,导致创建进程时路径截断,直接运行C:\Program.exe程序。
漏洞2:
创建的服务项BDSoftMgrSvc指定的ImagePath由于没有使用双引号包围参数路径,导致服务启动时路径截断,直接以SYSTEM权限运行C:\Program.exe程序。

漏洞证明:

测试版本:**.**.**.**4(官方最新版本,更新日期为2015-07-13),截图如下:

Version.png


安装百度软件管理到操作系统上,随后放一个名为Program.exe的程序到C盘根目录下,比如复制C:\Windows\System32\calc.exe到C:\Program.exe。
双击桌面图标打开百度软件管理,可以看到先后创建了两个Program.exe进程,其中一个以SYSTEM权限启动,如下图所示:

Evidence.png


BDSoftMgr的子进程创建参数为(没有双引号):

C:\Program Files\Baidu\BaiduSoftMgr\**.**.**.**4\BDSWAcc.exe 2564 393842 394442 65617


SYSTEM权限启动的Program.exe进程是因为服务项中的ImagePath没有使用双引号造成的,如下图所示:

BdSoftMgrSvc.png


注册表位置为:HKEY_LOCAL_MACHINE下的SYSTEM\CurrentControlSet\Services\BDSoftMgrSvc,键名为ImagePath,键值没有双引号:

C:\Program Files\Baidu\BaiduSoftMgr\**.**.**.**4\BDSoftMgrSvc.exe


修复方案:

请使用双引号包围进程路径,包括CreateProcess的参数以及系统服务项的ImagePath参数。
其中CreateProcess的位于BDSWHomePage.dll的sub_5F931870函数中,如下图所示:

Position.png

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2015-09-21 15:10

厂商回复:

感谢提交

最新状态:

暂无


漏洞评价:

评价