欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

腾讯QQ升级漏洞(2009-2014通杀),可被中间人攻击利用植入木马

来源:本站整理 作者:佚名 时间:2015-03-15 TAG: 我要投稿

简要描述:

QQ2009-2014通杀(包括最新的6.7),升级过程可被中间人攻击利用,可使得获得更新程序的机器被植入任意EXE文件。

详细说明:

QQ在登录成功后10分钟左右,会主动向服务器POST投递某个模块要求更新,URL如下:

http://updatecenter.qq.com/queryselfupdate



回应包为一个包含特殊文件头的xml文档,该文档描述了要更新的url地址(zip压缩包),hash值,以及size。

这个回应包的前两个字节表示了文件头的大小,去除文件头后,就是标准的xml文档



攻击者如果劫持了这个TCP会话,并伪造xml文档,插入TCP会话,可以造成任意exe文件被下载并执行的后果。



QQ没有对此文件进行任何校验,仅仅通过xml的描述来校验是否合法,未对exe文件本身进行数字签名校验等措施。

漏洞证明:

抓包及插入TCP会话后截图

 

QQ截图20141214001741.png



 

Windows XP Professional-2014-12-14-00-06-03.png





伪造的xml文档:

QQ截图20141214002203.png





在这个xml文档中,url字段表示zip包的下载地址(必须为zip包,包中需要有名为txupd.exe的文件),MD5字段为hash值,size字段为大小(字节)

符合上述条件,下载后自动解包,自动运行,想怎么玩就怎么玩……

修复方案:

校验zip包内的文件,校验数字签名

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载