首頁 -> 安全研究

安全研究

緊急通告
綠盟科技緊急通告(Alert2010-06)

NSFOCUS安全小組([email protected])
http://www.nsfocus.com

Microsoft幫助和支持中心HCP協議處理器遠程命令執行0day漏洞

發布日期:2010-06-11

CVE ID:CVE-2010-1885

受影響的軟件及系統:
====================
Windows XP SP2/3
Windows Server 2003 SP2

未受影響的軟件及系統:
======================
Windows 2000
Windows Vista
Windows 7
Windows Server 2008

綜述:
======
幫助和支持中心是微軟Windows操作系統默認安裝的訪問在線幫助文檔的工具,微軟通過在瀏覽器中安裝HCP協議處理器的方式實現了直接使用URL訪問幫助文檔。

HCP協議處理器在處理URL中的字符編碼轉義時存在漏洞,使傳遞到幫助和支持中心程序的參數不正確,導致從不可信來源的數據在錯誤的高權限環境中得到處理,結合其他的已知漏洞遠程攻擊者可以通過誘使用戶訪問惡意網頁在用戶系統上執行任意系統命令,從而以當前執行用戶權限控制系統。

此漏洞是一個0day漏洞,相關的技術細節已經公開,微軟已經得知了此漏洞的存在并開始研究處理,但還未提供針對此漏洞安全補丁,強烈建議參照臨時解決方案進行處理以免受此漏洞的影響。

分析:
======
幫助和支持中心在瀏覽器中注冊了hcp://協議處理器,通過瀏覽器調用幫助中心程序時會被添加“/fromhcp”命令行參數,此參數啟動幫助中心程序的白名單機制,只允許受限的文件和參數交互。

漏洞出現在HCP協議處理器處理URL中可能包含的Unicode和十六進制轉義解碼的過程中,由于沒有檢查每個解碼操作的返回值,導致可以在URL中添加畸形數據,繞過“/fromhcp”參數的白名單機制,使用戶通過網頁傳遞的數據在高權限的環境中處理。結合默認安裝的高權限幫助中心應用腳本中存在的代碼注入問題和其他的一些技巧,攻擊者可以通過誘使用戶訪問惡意網頁觸發漏洞無需用戶確認即可在系統上執行任意命令,但在攻擊過程中系統會彈出幫助和支持中心程序。

此漏洞影響廣泛而且導致威脅等級也高,可能被利用來執行掛馬攻擊,任何調用瀏覽器內核解析HTML文件的郵件客戶端也受此漏洞的影響。

解決方法:
==========
Windows用戶可以采用下面幾種臨時解決方案來減輕漏洞的威脅:

* 暫時去除HCP協議的注冊。

  在命令窗口中執行:
  
  reg export HKEY_CLASSES_ROOT\HCP hcp_backup.reg
  
  備份注冊表中相關的表項到備份文件。
  
  然后執行:
  
  reg delete HKEY_CLASSES_ROOT\HCP /f
  
  刪除相關的注冊表項去除系統的HCP協議注冊。在微軟發布的漏洞補丁安裝以后,雙擊備份出來的 hcp_backup.reg 文件導入數據到注冊表后即可恢復對HCP的支持。
  
* 安裝第三方的補丁。

  漏洞的發現者發布了一個第三方的補丁,高級用戶可以自己編譯安裝,不建議普通用戶操作。補丁下載:
  
  http://lock.cmpxchg8b.com/b10a58b75029f79b5f93f4add3ddf992/hcphotfix.zip

廠商狀態:
==========
微軟已經得到了漏洞相關的信息正在處理,但還沒有發布安全補丁,我們建議在安裝官方補丁之前應用本通告的臨時解決方法以降低漏洞的威脅:

http://blogs.technet.com/b/srd/archive/2010/06/10/help-and-support-center-vulnerability-full-disclosure-posting.aspx
http://www.microsoft.com/technet/security/advisory/2219475.mspx

附加信息:
==========
http://www.uaeogq.live/vulndb/15211
http://seclists.org/fulldisclosure/2010/Jun/205
http://www.microsoft.com/technet/security/advisory/2219475.mspx

聲 明
==========

本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部內容。未經綠盟科技允許,不得任意修改或者增減此安全公告內容,不得以任何方式將其用于商業目的。

關于綠盟科技
============

綠盟科技(NSFOCUS Co., Ltd.)是中國網絡安全領域的領導企業,致力于網絡和系統安全問題的研究、高端網絡安全產品的研發、銷售與網絡安全服務,在入侵檢測/保護、遠程評估、 DDoS攻擊防護等方面提供具有國際競爭能力的先進產品,是國內最具安全服務經驗的專業公司。有關綠盟科技的詳情請參見: http://www.nsfocus.com

© 2019 綠盟科技
重庆时时彩计划准不准 斗三公235倍怎么压 闲来湖南麻将下载 腾讯qq麻将安卓版 分分彩技巧之稳赚不赔 重庆时时彩改为欢乐生肖 黑龙江22选5开奖结果今天 北京pk10计划官网 pc蛋蛋28北京全天计划 北京pk10赛车直播网址 日经道·琼斯股票指数 彩金捕鱼季最新下载 经典单机麻将最老版