Fatal编程技术网
  • security/
  • Security 什么';这是“什么?”;小工具漏洞“;?

Security 什么';这是“什么?”;小工具漏洞“;?

security

Security 什么';这是“什么?”;小工具漏洞“;?,security,windows-desktop-gadgets,Security,Windows Desktop Gadgets,在最近的一次安全咨询中,微软警告说“小工具中的漏洞可能允许远程代码执行”: 成功利用Gadget漏洞的攻击者可以在当前用户的上下文中运行任意代码 () 我真的不明白这一点。据我所知,小工具是(按设计)完全信任运行的基于HTML的应用程序 完全信任 运行小工具的选择以与运行从Internet下载的任何应用程序的选择相同的方式呈现给用户。有关小工具作者的信息将显示在一个对话框中,表明存在与此文件相关的风险。用户接受警告后,小工具将使用与用户登录帐户关联的所有权限运行 () 例如,没有任何东西阻止您

在最近的一次安全咨询中,微软警告说“小工具中的漏洞可能允许远程代码执行”:

成功利用Gadget漏洞的攻击者可以在当前用户的上下文中运行任意代码

()

我真的不明白这一点。据我所知,小工具是(按设计)完全信任运行的基于HTML的应用程序

完全信任

运行小工具的选择以与运行从Internet下载的任何应用程序的选择相同的方式呈现给用户。有关小工具作者的信息将显示在一个对话框中,表明存在与此文件相关的风险。用户接受警告后,小工具将使用与用户登录帐户关联的所有权限运行

()

例如,没有任何东西阻止您添加

<script language="VBScript"> 
    Set shell = CreateObject("Wscript.Shell")
    shell.Run "notepad.exe"
</script> 


Set shell=CreateObject(“Wscript.shell”)
shell.Run“notepad.exe”
以及从小工具执行任意命令

显然,它们可以做在本地用户上下文中运行的其他应用程序所能做的一切。那么,MS Security Advisory提到的“可被利用”的漏洞在哪里呢?

这些攻击是以这种方式发生的:

  • 攻击者必须说服用户安装并启用易受攻击的小工具
  • 成功利用Gadget漏洞的攻击者可以获得与登录用户相同的用户权限。如果用户以管理用户权限登录,成功利用此漏洞的攻击者可以完全控制受影响的系统。然后,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户
    • 正如您所看到的,如果您安装了易受攻击的小工具,那么很简单,现在告诉我谁授权了您的小工具?世界上有很多假冒的小玩意儿,小心点

    此外,microsoft还提供了一个热修复程序,用于禁用边栏和小工具,您可以在以下链接中找到:

    他们杀死了windows 8中的小工具和侧边栏

    非常感谢您能找到确切的细节,以下是blackhat上发表的文章,它让Microsoft禁用了小工具:

    (pdf文件)

    好吧,“小工具漏洞”是指以下问题:

    小工具所面临的风险与任何基于web的应用程序所面临的风险相同 应用程序,例如中间人或代码注入。大多数web浏览器的早期版本中都存在类似的问题,但现代浏览器专门实现了一些控件,试图缓解其中的许多问题。这些控件尚未在Gadgets平台中实现,因此容易受到众所周知的、经过深入讨论的攻击。
    -我们有你的小玩意,黑帽子

    因此,您可以看到,主要的漏洞是没有控制来限制小工具不受约束地运行代码

    另一个问题:

    微软表示,它已经发现一些Vista和Win7小工具不符合安全编码惯例,应该被视为是造成安全问题的原因 对运行它们的系统的风险

    因此,运行任意代码确实是HTA的一部分,但因为侧边栏和gadgets平台没有缓解这种情况,并且非常悲观,认为所有gadget程序员都会编写安全代码,不会尝试利用或做gadget不应该做的事

    希望它能回答你的问题

    我仍然认为这个问题是相当模糊的,因为你说:他们允许运行任意代码,这是模型和概念的一部分,他们没有缓解它,那么漏洞是什么?它已经被利用了…-这就是整个想法:)

    可以询问每一个缺陷和攻击,这正是问题所在——这是设计的问题,不安全。人们发现,由于没有缓解措施,而且由于您确实能够毫无问题地运行和执行恶意代码,这些小工具存在缺陷。

    同意,与用户执行未签名的应用程序相比,Gadgets平台似乎不易受到攻击

    为什么应用于应用程序的系统级执行预防、启发式分析和其他方法不能应用于小工具,这让我感到困惑

    这有点微软的懒惰:Gadgets平台没有得到高度重视或广泛使用(尽管它有可能提供前所未有的功能水平,并将web功能直接集成到桌面上),因此没有试图保护用户免受恶意Gadgets的侵害,他们干脆停止了

    随着Windows、Mac和Android用户界面的发展方向,普通用户越来越不知道应用程序(或插件)究竟是如何运行的,因此不必要的、机会主义的甚至恶意的应用程序仍在继续扩散。我一直在反复讨论Gadgets规范,据我所知,它并不比Chrome和FireFox使用的插件系统更不安全

    在小工具中执行ActiveX和Java受Internet Explorer中的安全设置的约束。如果您的安全设置允许小工具执行某些操作,那么大多数功能也可以在插件或Java应用程序中利用

    我读过的分析报告表明,这些漏洞已在“大多数现代浏览器”中修补过,但Internet Explorer显然不是这样,因为我所看到的每一个小工具漏洞都可以在IE浏览器中运行

    简而言之,这里的错误在于ActiveX、Java和其他插件的“切换开关”式处理。通过尽量避免用户无休止的提示,并消除做出知情决定的要求,微软继续让不知情或粗心的用户受到恶意攻击