SafeSign加密组件 Dll Hijacking(某行网银引入)

偶然发现一个网银引入的Dll Hijacking。

手头有个某行的网银,用的是捷德的UKEY,捷德的UKEY使用了国外SafeSign的加密组件。这个组件注册到系统中后,会在数字证书验证时被调用到。组件会加载一个叫做aetcmgr的DLL,但是这个DLL并未被安装到系统中,而且调用时未指定全路径,因此会造成一个dll hijacking。

比如我把一个会转向https网址的网页和一个恶意的aetcmgr.dll发给一个人的话,如果那人装了工行的网银,用IE打开网页时IE就会尝试加载aetcmgr.dll。

测试网页如下如下,XXX请替换为任意一个https的网址:

<head>
 
<meta http-equiv="refresh" content="0;url=https://XXXX">
 
</html>

我让aetcmgr.dll 在DLLMAIN中弹了一个MSGBOX。
19002130cb5dbe3594d659fca70faa417a5ff6b1

IE的调用栈如下
19001302996c89d73dc6a6b5aba1326293bea4f5

因为这个组件是注册到系统中的,所以漏洞可大可小,会影响到很多验证数字证书的程序,在我系统上的就有IE、阿里旺旺、盛大的云梯等会尝试加载这个DLL,当然,如何利用就要考虑下了。

发到乌云几个月了:http://wooyun.org/bugs/wooyun-2013-024077

不过这个漏洞兜这么个大圈子,估计他们也不好处理。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

*