5月11日，綠盟科技威脅響應中心接報烏云通告，工商銀行安全控件可導致遠程任意代碼執行漏洞（WooYun-2015-96339），考慮到互聯網金融當前存在較多的安全性問題 ，并考慮到該漏洞涉及到支付寶安全控件，可能的影響面較大，故迅速展開應急響應工作。

?背景信息

該問題起源于烏云平臺對工商銀行控件安全問題的一處通報，通報指出，該銀行的網銀控件會降低網銀用戶電腦中的安全配置（該配置存在于IE瀏覽器中）。當這臺被降低的電腦訪問常規條件下的可信網站時，會執行可信網站要求的任意命令，如果該漏洞被攻擊者利用，很容易構造跨站攻擊，在用戶的電腦上執行任意代碼。

危害程度

通俗來說，這個問題可以理解為一臺“漏洞放大器”，它自己可能不會造成特嚴重的危害，但配合上其他漏洞，會放大其他漏洞造成的危害，可以預見的危害有以下幾項：

??該漏洞涉及網銀登錄頁面，以及可能涉及較為及常見的信任網站（比如淘寶、支付寶等），兩者的共同用戶很多，可能被攻擊的范圍較大，危害較大；

??網銀出于兼容性及可用性的考慮，可能會降低IE安全性設置，由此動作帶來的錯誤設置可能存在于多家銀行；

??該漏洞是由于網銀控件的錯誤設置，允許在瀏覽受信任網站時執行任意代碼，且沒有任何提示，這提升了跨站攻擊的威脅程度，用戶可能更容易受到傷害；

??XSS跨站攻擊本身存在易傳播性，配合其他漏洞進行組合攻擊，將會進一步擴大影響范圍

分析步驟

檢測方法

?為有效應對此漏洞，建議用戶盡快通過如下方法檢測自己是否已經受到影響。

查看IE瀏覽器安全設置

??“啟動IE瀏覽器，找到并點擊“工具菜單”-?“Internet選項”

??在隨后出現的對話框中，點選安全標簽頁

???在下面第一個窗口中點擊“可信站點”圖標

檢查可信站點區域安全級別

選擇該選項后，如果發現紅框中的安全級別為“中”，則表明自己所使用的網銀控件不存在類似問題，下圖是安全情況的樣例圖。

?

選擇該選項后，如果發現紅框中的安全級別為“自定義”，則需要通過如下步驟進一步確定問題：

??點擊“自定義級別”按鈕

??在新彈出的對話框查看“對未標記為可安全執行腳本的ActiveX控件初始化并執行腳本”這一項

??如果選擇項為“啟用”，則表明存在相應問題

下圖是存在安全風險的樣例圖：

?

可能的利用方法

通過上面的分析可以看到，此次漏洞的關鍵在于這個控件錯誤的設置，打開了“對未標記為可安全執行腳本的ActiveX控件初始化并執行腳本“選項，從而允許執行任意Javascript代碼，那么一個典型的XSS跨站攻擊可能是這樣的：

??構造一個惡意腳本并將其嵌入URL中，發送給被攻擊者

??被攻擊者打開URL，看到還是銀行官網，乃至信任域內的任意網站，比如*.taobao.com

??本來這個腳本在本地會受到IE的安全設置的限制無法在執行，默認設置為中級以上

??但由于安全控件打開了這道門，惡意腳本已經在后臺執行了

??那么該腳本完全可能在后臺下載木馬，進而竊取用戶的敏感信息，包括授權、信用卡、賬號信息等

?

如果該URL進一步擴散，無論給用戶的切身利益，還是對銀行的聲譽，帶來的危害是極其嚴重的；如果信任域內的網站淪陷，可導致訪問該網站的所有用戶被掛馬，同樣是一個一次攻擊危害放大的效果。

?

在《2014綠盟科技互聯網金融安全報告》中可以看到，在各種常規漏洞中，XSS是出現頻率最多的漏洞類型，占到了13%

。其中主要包括反射型XSS和存儲型XSS?？缯灸_本漏洞可能會導致網頁掛馬、用戶權限被盜用、釣魚攻擊等多種安全風險。

分析結果匯總

通過上面的分析可以看到，該漏洞可能提升現有漏洞的威脅程度，進而引起大規模網頁掛馬事件，其危害性極為嚴重，所以綠盟科技技術人員第一時間對8家銀行頁面進行了檢測，發現工商銀行存在控件安全性問題，各行頁面詳細檢測情況截圖詳見附錄。

?

銀行網銀頁面安全控件分析結果

工行網銀存在控件安全性問題

?

控件所屬銀行 ? ? ?問題存在情況

中國銀行 ? ? ? ? ? ?無問題

農業銀行 ? ? ? ? ? ?無問題

中國建設銀行 ? ??無控件?無問題

中國工商銀行 ? ??存在

招商銀行 ? ? ? ? ? ?無問題

民生銀行 ? ? ? ? ? ?無問題

興業銀行 ? ? ? ? ? ?無控件?無問題

?

緊急應對方法

給銀行方面的建議

對自己所屬銀行的控件進行安裝審計（審計方法參考檢測方法章節），如發現其修改了IE的安全配置，證明該控件存在類似問題。此時應當聯系己方開發人員，取消這一修改配置的功能，并發布新版本控件。如控件自身功能有修改IE的安全配置的需求，也要借助其他功能等價編碼實現進行該問題規避，重構后發布新版本控件。

給網銀用戶的建議

普通用戶可以先檢查自己的瀏覽器是否存在類似問題，檢查方法同樣參考檢測方法的章節。

如發現自己的控件存在問題，則應將電腦的IE選項手動修復為默認級別（點擊“默認級別”這個按鈕即可--------在“自定義級別”旁邊）。此后，當銀行發布新版本控件時，再進行控件更新即可。

威脅情報

為及時有效的應對各類網絡安全事件，綠盟科技一直與各安全機構保持密切合作，包括烏云及CNCert國家互聯網應急中心。從此次安全事件的傳播情況可以看到，無論其原理怎樣，無論防護方案如何實施，關鍵在于盡可能快的了解到漏洞信息及相關的情報，以便盡可能快的啟動應急響應機制。這無論對于解決傳統安全或者APT攻擊來說都是重要的手段之一，威脅情報的獲取及響應都體現了防御能力的建設程度，威脅情報服務體系至少包含了威脅監測及響應、數據分析及整理、業務情報及交付、風險評估及咨詢、安全托管及應用等各個方面，涉及研究、產品、服務、運營及營銷的各個環節，綠盟科技通過研究、云端、產品、服務等立體的應急響應體系，向企業和組織及時提供威脅情報并持續進行后續服務，保障客戶業務的順暢運行。

如果您對我們提供的內容有任何疑問，或者需要了解更多的信息，可以隨時通過在微博、微信中搜索綠盟科技聯系我們，歡迎您的垂詢！

[1]

?烏云，http://wooyun.org/bugs/wooyun-2010-096339

[2]

2014綠盟科技互聯網金融安全報告，http://www.nsfocus.com.cn/report/2014 NSFOCUS Internet Finance Security Report.pdf

總結

以上是生活随笔為你收集整理的网银安全控件远程代码执行漏洞分析的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。