暴風(fēng)影音2009 等0day漏洞曝光，已被大面積利用

    一、事件分析

 

      近日，網(wǎng)絡(luò)上曝光了3個(gè)高危0day漏洞，包括暴風(fēng)影音2009(mps.dll)ActiveX遠(yuǎn)程棧溢出漏洞、暴風(fēng)影音2009(Config.dll)ActiveX遠(yuǎn)程棧溢出漏洞和中國游戲中心游戲大廳ActiveX遠(yuǎn)程棧溢出漏洞。當(dāng)系統(tǒng)內(nèi)安裝了暴風(fēng)影音2009或中國游戲中心游戲大廳的用戶瀏覽到黑客精心構(gòu)造的網(wǎng)馬時(shí)將觸發(fā)該漏洞，漏洞被激活后可以執(zhí)行任意代碼，惡意攻擊者可以在后臺悄悄下載木馬安裝在受害用戶系統(tǒng)中。

 

      目前漏洞已被大面積利用，截至今日超級巡警團(tuán)隊(duì)已截獲利用暴風(fēng)影音2009(mps.dll)ActiveX遠(yuǎn)程棧溢出漏洞的網(wǎng)頁木馬323個(gè)。超級巡警團(tuán)隊(duì)建議大家安裝使用超級巡警的第三方漏洞修復(fù)功能來修復(fù)該漏洞，并暢游巡警來應(yīng)對此類網(wǎng)馬的攻擊。

 

 

 

漏洞分析（引自softrce）：

暴風(fēng)影音2009(mps.dll)ActiveX遠(yuǎn)程棧溢出漏洞：

 

描述:

暴風(fēng)影音是國內(nèi)一款相當(dāng)流行的萬能播放器

 

受影響的系統(tǒng):

暴風(fēng)影音2009 < =[3.09.04.17]

 

細(xì)節(jié):

clsid:6BE52E1D-E586-474F-A6E2-1A85A9B4D9FB

C:Program FilesStormIImps.dll

Sub OnBeforeVideoDownload(ByVal URL  As String)

 

當(dāng)參數(shù)URL是一個(gè)超長字符串時(shí)，發(fā)生棧溢出，利用堆填充技術(shù)，攻擊者可以很輕松的利用此漏洞執(zhí)行任意代碼。

暴風(fēng)影音2009(Config.dll)ActiveX遠(yuǎn)程棧溢出漏洞

 

描述:

暴風(fēng)影音是國內(nèi)一款相當(dāng)流行的萬能播放器

 

受影響的系統(tǒng):

暴風(fēng)影音2009 < =[3.09.04.17]

 

細(xì)節(jié):

clsid:BD103B2B-30FB-4F1E-8C17-D8F6AADBCC05

C:Program FilesStormIIConfig.dll

Sub SetAttributeValue (

  ByVal lpQueryStr  As String ,

  ByVal bstrAttributeName  As String ,

  ByVal lpValueStr  As String

)

 

當(dāng)參數(shù)lpQueryStr是一個(gè)超長字符串時(shí)，發(fā)生棧溢出，利用堆填充技術(shù)，攻擊者可以很輕松的利用此漏洞執(zhí)行任意代碼。

中國游戲中心游戲大廳ActiveX遠(yuǎn)程棧溢出漏洞

 

描述:

中國游戲中心是中國一款著名的游戲平臺，含棋牌，網(wǎng)絡(luò)游戲等

 

受影響的系統(tǒng):

中國游戲中心游戲大廳2009

 

細(xì)節(jié):

clsid:75108B29-202F-493C-86C5-1C182A485C4C

C:Program FilesChinagamesiGameCGAgent.dll

Sub CreateChinagames (ByVal lpszToken  As String)

 

參數(shù)lpszToken是一個(gè)超長字符串時(shí)，發(fā)生棧溢出，利用堆填充技術(shù)，攻擊者可以很輕松的利用此漏洞執(zhí)行任意代碼。

二、解決方案

 

      1，安裝暢游巡警攔截網(wǎng)頁木馬。

      2，超級巡警已升級第三方漏洞補(bǔ)丁庫，添加此漏洞并提供臨時(shí)解決方案，用戶可通過補(bǔ)丁檢查中的第三方應(yīng)用程序漏洞檢查來檢查并修補(bǔ)該漏洞。用戶也可通過設(shè)置killbit來禁用有漏洞的clsid。將下面內(nèi)容保存為.reg文件，雙擊導(dǎo)入注冊表來禁用該控件：

           暴風(fēng)影音2009：

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility{6BE52E1D-E586-474F-A6E2-1A85A9B4D9FB}]

“Compatibility Flags”=dword:00000400

 

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility{BD103B2B-30FB-4F1E-8C17-D8F6AADBCC05}]

“Compatibility Flag