什么是“小工具漏洞”?

时间:2012-07-15 09:29:00

标签: security windows-desktop-gadgets

在最近的安全公告中,微软警告说“小工具中的漏洞可能允许远程执行代码”:

  

成功利用小工具漏洞的攻击者可以在当前用户的上下文中运行任意代码。

Microsoft Security Advisory 2719662

我真的不明白这一点。据我所知,小工具(按设计)基于HTML的应用程序运行时完全信任!

  

完全信任

     

运行小工具的选择以与运行从Internet下载的任何应用程序的选择相同的方式呈现给用户。有关小工具作者的信息显示在一个对话框中,表明存在与此文件相关的风险。用户接受警告后,小工具将以与用户登录帐户关联的所有权限运行。

MSDN: Gadgets for Windows Sidebar Security

例如,没有什么可以阻止您添加

<script language="VBScript"> 
    Set shell = CreateObject("Wscript.Shell")
    shell.Run "notepad.exe"
</script>

并从您的小工具执行任意命令。 This works and it's by design.

显然,他们可以完成在本地用户上下文中运行的另一个应用程序可以执行的所有操作。那么,漏洞在哪里?MS安全咨询提到哪些“可以被利用”?

5 个答案:

答案 0 :(得分:6)

“小工具漏洞”的问题是:

  

小工具所面临的风险与任何基于网络的风险相同   申请,例如Man-In-The-Middle或代码注入。在大多数Web浏览器的早期版本中存在类似的问题,但是现代浏览器已经专门实现了控制以试图缓解许多这些问题。这些控制措施尚未在Gadgets平台中实施,因此容易受到众所周知且彻底讨论的攻击    - 我们有小工具,黑帽子。

所以你可以看到主要的漏洞就是没有控制来限制小工具无限制地运行代码。

另一个问题:

  

微软已经表示已经发现一些Vista和Win7小工具不遵守安全编码做法,应该被视为造成   对他们运行的系统的风险。

所以确实运行任意代码是HTA的一部分,但因为侧边栏和小工具平台没有减轻它并且非常悲观,认为所有小工具程序员都会编写安全代码并且不会尝试利用或做小工具不想这样做。

希望它能回答你的问题。

我仍然认为这个问题很模糊,因为你说:他们允许运行任意代码,它是模型和概念的一部分而且它们没有减轻它,所以它的利用是什么?它已经被利用了...... - 这就是整个想法:)

可以询问每个漏洞和攻击,这正是问题所在 - 它是设计上的一个问题,并且不安全,因为没有缓解,因为你真的能够运行和执行恶意代码没问题,这些小工具有缺陷。

答案 1 :(得分:2)

同意,Gadgets平台似乎不比用户执行未签名的应用程序更容易受到攻击。

为什么同样的系统级执行预防,启发式分析&amp;应用于应用程序的其他方法无法应用于Gadgets对我来说是不可思议的。

微软的这种懒惰:Gadgets平台没有得到高度重视或广泛使用(尽管有可能提供前所未有的功能和将网络功能直接集成到桌面中),所以而不是制作为保护用户免受恶意小工具的任何企图,他们只是停止使用它们。

随着Windows,Mac和Android用户界面的发展方向,普通用户越来越不知道应用程序(或插件)实际上是如何做的,所以不必要的,机会主义甚至恶意的扩散应用继续。我一直在Gadgets规范上来回奔波,尽管我已经知道了,但它并不比Chrome和FireFox使用的插件系统更不安全。

在小工具中执行ActiveX和Java受Internet Explorer中的安全设置的约束。如果您的安全设置允许小工具执行某些操作,那么大多数这些功能也可以在插件或Java应用程序中利用。

我读过的分析师报告指出,这些漏洞已在“最现代化的浏览器”中修补,但对于Internet Explorer来说显然不是这样,因为我见过的每个Gadget漏洞也可以在IE浏览器中运行

简而言之,它是ActiveX,Java和其他插件的“切换开关”样式处理,这是错误的。通过努力使用户无休止地提示并消除做出明智决定的要求,微软继续让不知情或粗心的用户对恶意网络应用程序和插件敞开大门。

信托证书&amp;安全补丁非常适合终止该功能。

答案 2 :(得分:2)

在我看来,我认为安全问题是一个烟幕。这些&#34;安全问题&#34;存在于许多向量和小工具之间,如果它们是这样一个问题,将比Windows 8发布的早晨更早得到解决。我的观点是小工具被抛弃,因为它们是Windows 8平板电脑的耗电量。它让我想起了带状界面是如何暴露出深埋功能的。当我认为实际上微软真的在计划一个触摸界面。所以,无论如何&#34;借口&#34;微软承诺做某事,我倾向于寻求更深层次的目的。希望这会随着新管理层而改变。有谁知道是否可以在Windows 8.1上安装某种小工具平台?谢谢!

答案 3 :(得分:0)

这些攻击以这种方式发生:

  1. 攻击者必须说服用户安装并启用易受攻击的小工具
  2. 成功利用Gadget漏洞的攻击者可以获得与登录用户相同的用户权限。如果用户使用管理用户权限登录,则成功利用此漏洞的攻击者可以完全控制受影响的系统。然后攻击者可以安装程序;查看,更改或删除数据;或创建具有完全用户权限的新帐户。

    3. 如果您认为安装易受攻击的小工具很简单,现在告诉我谁授权您的小工具?在世界狂野的网络上有很多假小玩意......小心。

    此外,microsoft还有一个修补程序,可以禁用此链接中可以找到的侧边栏和小工具: microsoft advisory

    他们在Windows 8中杀死了小工具和侧边栏

答案 4 :(得分:0)

感谢您找到确切的详细信息,以下是使用Microsoft禁用小工具的blackhat中的文章:

We have you by the gadgets - Black Hat(pdf档案)

相关问题
最新问题