一、事件分析
近日,网络上曝光了3个高危0day漏洞,包括暴风影音2009(mps.dll)ActiveX远程栈溢出漏洞、暴风影音2009(Config.dll)ActiveX远程栈溢出漏洞和中国游戏中心游戏大厅ActiveX远程栈溢出漏洞。当系统内安装了暴风影音2009或中国游戏中心游戏大厅的用户浏览到黑客精心构造的网马时将触发该漏洞,漏洞被激活后可以执行任意代码,恶意攻击者可以在后台悄悄下载木马安装在受害用户系统中。
目前漏洞已被大面积利用,截至今日超级巡警团队已截获利用暴风影音2009(mps.dll)ActiveX远程栈溢出漏洞的网页木马323个。超级巡警团队建议大家安装使用超级巡警的第三方漏洞修复功能来修复该漏洞,并畅游巡警来应对此类网马的攻击。
漏洞分析(引自softrce):
暴风影音2009(mps.dll)ActiveX远程栈溢出漏洞:
描述:
暴风影音是国内一款相当流行的万能播放器
受影响的系统:
暴风影音2009 < =[3.09.04.17]
细节:
clsid:6BE52E1D-E586-474F-A6E2-1A85A9B4D9FB
C:Program FilesStormIImps.dll
Sub OnBeforeVideoDownload(ByVal URL As String)
当参数URL是一个超长字符串时,发生栈溢出,利用堆填充技术,攻击者可以很轻松的利用此漏洞执行任意代码。
暴风影音2009(Config.dll)ActiveX远程栈溢出漏洞
描述:
暴风影音是国内一款相当流行的万能播放器
受影响的系统:
暴风影音2009 < =[3.09.04.17]
细节:
clsid:BD103B2B-30FB-4F1E-8C17-D8F6AADBCC05
C:Program FilesStormIIConfig.dll
Sub SetAttributeValue (
ByVal lpQueryStr As String ,
ByVal bstrAttributeName As String ,
ByVal lpValueStr As String
)
当参数lpQueryStr是一个超长字符串时,发生栈溢出,利用堆填充技术,攻击者可以很轻松的利用此漏洞执行任意代码。
中国游戏中心游戏大厅ActiveX远程栈溢出漏洞
描述:
中国游戏中心是中国一款著名的游戏平台,含棋牌,网络游戏等
受影响的系统:
中国游戏中心游戏大厅2009
细节:
clsid:75108B29-202F-493C-86C5-1C182A485C4C
C:Program FilesChinagamesiGameCGAgent.dll
Sub CreateChinagames (ByVal lpszToken As String)
参数lpszToken是一个超长字符串时,发生栈溢出,利用堆填充技术,攻击者可以很轻松的利用此漏洞执行任意代码。
二、解决方案
1,安装畅游巡警拦截网页木马。
2,超级巡警已升级第三方漏洞补丁库,添加此漏洞并提供临时解决方案,用户可通过补丁检查中的第三方应用程序漏洞检查来检查并修补该漏洞。用户也可通过设置killbit来禁用有漏洞的clsid。将下面内容保存为.reg文件,双击导入注册表来禁用该控件:
暴风影音2009:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility{6BE52E1D-E586-474F-A6E2-1A85A9B4D9FB}]
“Compatibility Flags”=dword:00000400
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility{BD103B2B-30FB-4F1E-8C17-D8F6AADBCC05}]
“Compatibility Flag
相关文章