mIRC客户端软件存在URL链接注入漏洞,允许攻击者通过定制的URI scheme注入命令,实现远程代码执行。研究人员发现,在7.55及更早版本中,mIRC未使用防止命令注入的sigil,攻击者通过诱使用户点击含有iframe的恶意网页,可以触发漏洞执行远程脚本。此漏洞已在mIRC 7.55中得到修复,建议用户升级到最新版本。
mIRC是英国mIRC公司出品的IRC(Internet Relay Chat) 类客户端软件,目前风靡于全世界。界面优美,彩色文本行,全DCC、XDCC 文件发送和接收能力,aliases,远程命令和事件操作,与位置相关的下拉菜单,WWW和声音支持,还可以为你建立自己的组群,满足你和朋友们单独沟通的需求。
研究人员在mIRC应用中发现一个漏洞,攻击者利用该漏洞可以远程执行命令,下载和安装恶意软件。
mIRC安装后会创建3个定制的URL URI scheme,分别是irc:, ircs: 和mircurl。可以用作启动mIRC的链接,会自动连接到一个特定的服务器。比如,点击url irc://http://irc.undernet.org/,会使mIRC自动连接到http://irc.undernet.org服务器。
安全研究人员Benjamin Chetioui和Baptiste Devigne发现一个新的漏洞允许攻击者在这些URI scheme中注入命令,受影响的mIRC版本是7.55及之前版本。
在Windows中,URI scheme是映射到URL点击后要带命令行参数启动的特定应用的。研究人员解释说为了预防命令注入,Windows中定制的URI scheme应当使用sigil,以预防其他注入的命令行参数的语法分析。
在研究人员给出的例子中,说明了URI scheme中使用 – sigil来预防其他注入的命令行参数被分析。
Discord.exe" --url -- "%1"mIRC虽然没有使用sigil,当mIRC启动时运行使用定制的配置文件。从下面的图中可以看出当irc: link被点击后Windows中执行的命令:
为了利用该漏洞,研究人员搭建了一个含有定制的MIRC.ini文件的SAMBA服务器,MIRC.ini是mIRC的配置文件。Ini文件含有执行另一个脚本的命令,会在计算机上执行命令。
这些命令可以在登陆用户的安全环境下做任何事情,比如下载和安装恶意软件,创建新用户,删除文件等。
攻击者需要做的就是发送一个链接到含有iframe的web页面,iframe如下图所示,可以打开定制的irc: URL:
当用户打开web站点后,iframe会触发定制的URI并执行远程脚本的命令,定制的URL会启动使用远程配置文件的mIRC。
PoC如下所示:
该漏洞的利用非常简单,用户打开一个web页面就可以触发漏洞利用,这样的web链接可以通过钓鱼邮件、论坛发帖或其他允许用户提交内容的位置。
该漏洞在Mirc 7.55中修复了,修复时间为2019年2月8日。研究人员建议用户尽快更新到mIRC 7.55机之后的新版本。
完整writeup参见https://proofofcalc.com/cve-2019-6453-mIRC/。
本文翻译自: https://www. bleepingcomputer.com/ne ws/security/flaw-in-mirc-app-allows-attackers-to-execute-commands-remotely/ 如若转载,请注明原文地址: http://www. 4hou.com/vulnerable/163 36.html 更多内容请关注“嘶吼专业版”——Pro4hou
扫一扫
609
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
