两句话:由于Adobe产品的漏洞和微软登录凭证的不正确应用,蓄意的网络攻击可以在微软公司集团的signout.live.com域名中进行远程编码。
说白了,远程代码执行漏洞是指客户端可以根据电脑浏览器提交编码命令,因为服务器一直没有关注涵洞的执行,导致远程客户端可以在没有特定相对路径的情况下执行任意命令。这种漏洞通常会对网络服务器造成严重的危害,因为网络攻击可以根据各种方式在服务器上实施恶意程序。
据国外媒体最新消息,安全科学研究方面的权威专家在微软公司的signout.live.com域名中发现了一个远程代码执行漏洞。2015年底,科研权威专家向微软中国安全应急管理中心报告了这一远程代码执行漏洞。在这个阶段,漏洞已经被恢复。根据权威安全专家的说法,网站的软件环境存在不正确的配置,向网站呈现服务项目的Adobe感知智能管理系统(AEM)存在另一个安全漏洞。这些因素共同导致了这种远程代码执行漏洞的出现。
Adobe智能管理系统(AEM)简介
AEM是Adobeenterprises发布的公司级内容智能管理系统。目前Adobeenterprises负责该产品的维护。在此之前,AEM系统软件命名为CQ,分别有CQ5和CQ6两个版本。这款系统软件展示了网站内容智能管理系统的一整套详细解决方案,可以算是一款公司级的中重度系统软件。系统软件的核心组件运行在Javavm虚拟机上,ApacheHTTPserver作为系统软件的可选控制模块。客户可以使用这个控制模块来缓存文件网站的内容或平衡网站的负载。当然,国内很少有人掌握这个系统软件。然而,在其他许多国家,这种系统软件已经在所有金融行业蓬勃发展。
AEM的系统架构
在对AEM有了基本的了解之后,我发现AEM和很多典型的企业应用是一样的。首先,它选择了Java语言进行开发和设计。其次,如果要全面了解其管理系统框架,并进行相对的开发设计工作,可能是一件非常痛苦的事情。如果全程安装这个系统软件,也会觉得很头疼。因为AEM的快速安装文件实际上是一个几百兆的JAR包,你在缓解压力后可能会得到很多java源代码。
缓解压力之后,你还会发现,这种“代码仓库”的AEM安装文件,其实是由很多开源系统产品和Adobe提供的一些服务组成的。AEM的服务项目组件不是通过传统方法部署的,而是可以作为ApacheFelix的内部组件进行部署和完成。
ApacheFelix是OSGi技术的开源框架,那么什么是OSGi技术呢?OSGi的英文全称是OpenServiceGatewayInitiative,中文是面向Java的动态实体模型系统软件。这项技术实际上是Java统一模块化设计系统软件的一系列标准。简单来说,OSGi可以看作是Java服务平台的控制模块层。OSGi综合服务平台专注于将服务项目呈现给Java,可以让Java成为手机软件集成和软件开发的首选自然环境。Java的可扩展性使得以混合方式开发和部署相同的商品成为可能。随着OSGi技术的出现,应用软件可以应用简洁、有价值、协作的标准化原语,开发者可以将这样的组件打包成应用,进行混合开发和部署。
这个系统软件的一大优点是一个叫做“OSGi包”的组件。开发人员可以安装、重启或重新部署OSGi捆绑包,而无需重启OSGi架构或最低的Javavm虚拟机。OSGi捆绑包可以包含Java编码、脚本或编译程序后的数据信息内容。开发者可以将这类内容加载到相对仓库中,或者根据需要进行配备。此外,该框架允许AEM根据其自己的OSGi捆绑包的部署和安装来扩展其角色。
CVE-2016-0957
CVE-2016-0957本身就是一个比较简单的漏洞,存在于AEM的调度控制模块中。由于AEM调度控制模块中的“glob”过滤设备存在设计方案的缺陷,因此该漏洞立即存在。科研权威专家发现,该漏洞最终会导致“glob”过滤设备被迫返回非法请求的资源,这种请求应该被拒绝。这种情况不仅会发生在所需资源的URL的主要参数恰好与“glob”过滤设备的主要参数重合的时候,所有符合规定的HTTP查看的主要参数都有可能造成这种情况。
利用此漏洞也非常简单。网络攻击只能通过在URL详细地址或HTTP查看的主要参数后添加一个已知的资源路径来利用这个漏洞。
大家给我们看了下面一个旁路案例,假设设备和下面直接得到的差不多:
https://Dispatch.example.org/system/console
1.根据标准“0001”,调度过滤器将拒绝该请求。
2.达不到标准。
3.访问被拒绝。
https://Dispatch.example.org/system/console?。钢性铸铁
1.根据标准“0001”,调度过滤器将拒绝该请求。
2.".CSS”URL查看主参数将强制“glob”过滤器模块匹配标准的“0041”。
3.允许浏览
弱点
根据安装在客户端服务器上的AEM版本号和配置状态的不同,该漏洞很可能引发其他一些安全风险:
-/libs/opensocial/proxy
提出了一个代理,并能够使用这个代理在服务器端实现任意需求。
-/etc/mobile/useragent-test.html
会造成旧AEM(5.x)中的跨站脚本(XSS)漏洞。
-/etc/reports/diskusage.html
有可能未经认证就允许他人访问代码库中的详细内容,从而导致信息内容的泄露。
迄今为止最严重的远程代码执行(RCE)漏洞
在对AEM和CVE-2016-0957有了一个大概的了解之后,在接下来的章节目录中,大家会提前做好准备,告诉你signout.live.com到底怎么了。AEM调度控制模块中“glob”过滤器的漏洞和AEM发布连接点中的不正确配置使得网络攻击可以在signout.live.com网站远程随机编码。
当时安全科研人员发现signout.live.com网站上出现了微软Liveservice项目的账号注销网页,经过简单分析后,发现了这个远程代码执行漏洞。
安全科研人员第一次看到这个销户网页时,发现网页的URL详细地址结构看起来异常,详细地址好像是AEM形成的。为了更好地证实自己的猜测,安检人员询问了网页
在与Adobeenterprises的商品安全事件响应(PRIST)优秀团队沟通后,大家才开始对网站进行更深入的分析,从而确定网站是否应用了默认配备的“glob”过滤设备。根据AEMOSGi的控制面板,每个人都用。css后缀:
https://signout.live.com/system/console?。钢性铸铁
虽然这个请求可能会导致HTTP401错误,但是如果从请求中去掉HTTP查看的主要参数,网络服务器就可以响应并解决大家的请求。大家的猜想得到了证实,大家确实可以利用所描述的方法成功绕过AEM的调度过滤设备。
举报漏洞
2015年12月3日,安全研究人员向微软中国安全应急管理中心(MSRC)报告了该漏洞的详细情况。响应管理中心在24小时内发现了漏洞,并指派工作人员跟踪漏洞。经过与安全应急管理中心专业技术人员的持续沟通,该漏洞于2016年5月3日宣布恢复。
可悲的是,MSRC在2016年5月4日认定这个漏洞不符合微软在线服务项目漏洞奖励计划的规范和规定,因此发现并报告这个漏洞的安全权威专家无法获得漏洞奖励。
或许,人生就是这样吧!
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)