SSD安全公告–Ikraus Anti Virus 远程代码执行漏洞
Credit to Author: SSD / Maor Schwartz| Date: Mon, 27 Nov 2017 07:50:39 +0000
漏洞概要 以下安全公告描述了在Ikraus Anti Virus 2.16.7中发现的一个远程代码执行漏洞。 KARUS anti.virus“可以保护你的个人数据和PC免受各种恶意软件的入侵。此外,反垃圾邮件模块可以保护用户免受垃圾邮件和电子邮件中的恶意软件攻击。 选择获奖的IKARUS扫描引擎,可以有效保护自己免受网络犯罪分子的侵害。 IKARUS是世界上最好的扫描引擎,它每天都在检测未知和已知的威胁。 漏洞提交者 一位独立的安全研究人员向 Beyond Security 的 SSD 报告了该漏洞 厂商响应 更新一 CVE: CVE-2017-15643 厂商已经发布了这些漏洞的补丁。获取更多信息: https://www.ikarussecurity.com/about-ikarus/security-blog/vulnerability-in-windows-antivirus-products-ik-sa-2017-0001/ 漏洞详细信息 网络攻击者(中间人攻击)可以在运行Ikraus反病毒软件的计算机上实现远程代码执行。 Windows版的Ikarus AV使用明文HTTP和CRC32校验进行更新,以及用于验证下载文件的一个更新值。 另外,ikarus检查更新版本号,通过增加更新的版本号,以推动更新进程进行更新。 在ikarus中执行更新的可执行文件是guardxup.exe guardxup.exe,通过端口80,发送更新请求如下: [crayon-5a1c8f5b8564c832670696/] 服务器响应如下: [crayon-5a1c8f5b85655113594378/] 通过代理,我们可以修改响应,将“update”值加1,并将响应转发给客户端。 然后,客户端将通过此URL请求更新:http://mirror04.ikarus.at/updates/guardxup001005048.full ikarus服务器将返回404: [crayon-5a1c8f5b8565a461056357/] 但我们可以用IKUP格式修改上述响应: [crayon-5a1c8f5b8565f465486246/] 然后,我们将修改过后的响应转发到客户端,在那里用我们的可执行文件替换guardxup.exe。 漏洞证明 安装mitmproxy 0.17 – pip install mitmproxy == 0.17 要使用这个脚本,在透明代理模式下,通过中间人80端口转发客户端的通信流量。 设置你的防火墙规则以拦截8080端口上的通信流量: [crayon-5a1c8f5b85664388983146/] 然后执行如下脚本: ./poc.py file_to_deploy.exe [crayon-5a1c8f5b85668324361117/]
Read more