7

在最近的安全公告中,微软警告说“小工具中的漏洞可能允许远程执行代码”:

成功利用 Gadget 漏洞的攻击者可以在当前用户的上下文中运行任意代码。

微软安全公告 2719662

我真的不明白重点。据我所知,小工具是(按设计)以完全信任运行的基于 HTML 的应用程序!

完全信任

运行小工具的选择以与运行从 Internet 下载的任何应用程序的选择相同的方式呈现给用户。有关小工具作者的信息显示在一个对话框中,表明该文件存在相关风险。用户接受警告后,小工具将使用与用户登录帐户关联的所有权限运行。

MSDN:Windows 边栏安全小工具

例如,没有什么可以阻止您添加

<script language="VBScript"> 
    Set shell = CreateObject("Wscript.Shell")
    shell.Run "notepad.exe"
</script>

并从您的小工具执行任意命令。这是有效的,而且是设计使然。

显然,他们可以做在本地用户上下文中运行的另一个应用程序可以做的所有事情。那么,MS 安全公告提到的“可以利用”的漏洞在哪里?

4

5 回答 5

6

那么“小工具漏洞”的问题是:

小工具面临的风险与任何基于 Web 的应用程序面临的风险相同,例如中间人或代码注入。大多数 Web 浏览器的早期版本中也存在类似问题,但现代浏览器已专门实施了控制措施以试图缓解其中许多问题。这些控件尚未在 Gadgets 平台中实施,因此它们容易受到众所周知且经过深入讨论的攻击。
-我们有你的小工具,黑帽。

所以你可以看到主要的漏洞是没有控制来限制小工具不受限制地运行代码。

另一个问题:

微软表示,它发现一些 Vista 和 Win7 小工具不遵守安全编码规范,应该被视为对运行它们的系统造成风险。

所以确实运行任意代码是 HTA 的一部分,但是因为侧边栏和小工具平台并没有缓解它并且非常悲观,认为所有小工具程序员都会编写安全代码并且不会尝试利用或做小工具不认为的事情去做。

希望它回答了你的问题。

我仍然认为这个问题很模糊,因为你说:他们允许运行任意代码,这是模型和概念的一部分,他们没有缓解它,那么漏洞是什么?它已经被利用了...... - 这就是整个想法:)

可以询问每个缺陷和攻击,这正是问题所在 - 它是设计问题并且不安全,因此发现由于没有缓解措施并且您确实能够毫无问题地运行和执行恶意代码,这些小工具有缺陷。

于 2012-08-19T09:46:24.330 回答
2

正如我所看到的,我认为安全问题是一个烟幕。这些“安全问题”存在于许多载体和小工具中,如果它们是这样的问题,那么在 Windows 8 发布之初就会得到解决。我的观点是,小工具被抛弃了,因为它们会消耗大量的电量。 Windows 8 平板电脑。它让我想起了功能区界面是如何“暴露深埋的功能”的,而我认为实际上微软确实在计划触摸界面。因此,无论微软为做某事提供什么“借口”,我都倾向于寻找更深层次的目的。希望这会随着新的管理层而改变。有谁知道是否可以在 Windows 8.1 上安装某种小工具平台?谢谢!

于 2014-11-21T21:20:40.113 回答
2

同意,Gadgets 平台似乎不会比用户执行未签名的应用程序更容易受到攻击。

为什么相同的系统级执行预防、启发式分析和其他应用于应用程序的方法不能应用于小工具,这让我很困惑。

这有点微软的懒惰:Gadgets 平台没有得到高度重视或广泛使用(尽管有可能提供前所未有的能力水平并将网络功能直接集成到桌面),所以与其做任何尝试为了保护用户免受恶意小工具的侵害,他们只是停止了这些小工具。

随着 Windows、Mac 和 Android 用户界面的发展方向,普通用户越来越不了解应用程序(或插件)实际上是如何工作的,因此不必要的、机会主义的甚至恶意应用程序的扩散仍在继续。我一直在反复讨论 Gadgets 规范,据我所知,它并不比 Chrome 和 FireFox 使用的插件系统更不安全。

在小工具中执行 ActiveX 和 Java 取决于 Internet Explorer 中的安全设置。如果您的安全设置允许 Gadget 执行某些操作,那么大多数这些功能也可以在插件或 Java 应用程序中利用。

我读过的分析师报告表明,这些漏洞已在“大多数现代浏览器”中得到修补,但显然 Internet Explorer 并非如此,因为我看到的每个 Gadget 漏洞利用也可以在 IE 浏览器中运行。

简而言之,ActiveX、Java 和其他插件的“切换”样式处理在这里有问题。通过尽量避免用户无休止的提示并消除做出明智决定的要求,微软继续让不知情或粗心的用户对恶意 Web 应用程序和插件敞开大门。

信任证书和安全补丁比停止该功能要好得多。

于 2013-11-30T22:18:29.803 回答
0

这些攻击以这种方式发生:

  1. 攻击者必须说服用户安装和启用易受攻击的小工具
  2. 成功利用 Gadget 漏洞的攻击者可以获得与登录用户相同的用户权限。如果用户使用管理用户权限登录,成功利用此漏洞的攻击者可以完全控制受影响的系统。然后攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。

如您所见,如果您安装易受攻击的小工具,这很简单,现在告诉我谁授权了您的小工具?在万维网上有很多假冒的小玩意..小心。

微软也有一个修复程序来禁用侧边栏和小工具,你可以在这个链接中找到: 微软咨询

他们杀死了 Windows 8 中的小工具和侧边栏

于 2012-08-17T06:30:23.003 回答
0

感谢您找到确切的详细信息,以下是 blackhat 中的文章,它使 Microsoft 禁用了小工具:

我们有你的小工具 - 黑帽(pdf文件)

于 2012-08-17T07:55:49.767 回答