电脑报官方论坛

 找回密码
 注册
查看: 2591|回复: 1
打印 上一主题 下一主题

[安全预警] utorrent漏洞:导致远程代码执行和信息泄露等的各种JSON-RPC问题 [复制链接]

小小版主

成事不说,遂事不谏

Rank: 9Rank: 9Rank: 9

树叶
726
金币
26608
积分
2720

贡献勋章 SecurityExpert(病毒与安全)

跳转到指定楼层
楼主
发表于 2018-2-28 09:28:20 |只看该作者 |倒序浏览
无论是BT还是PT下载,utorrent几乎成为首选下载的工具。目前这个客户端曝出了一个漏洞,详情: https://bugs.chromium.org/p/project-zero/issues/detail?id=1524
该漏洞可能导致用户系统被控制(WEBUI启用的情况)或者攻击者任意下载你的文件(未启用状态)
对于使用UT3.0以上版本的用户尤其危险,该漏洞目前无法解决,只能采用更换其他客户端的办法。(Qbittrorrent,deluge,aria2,transmission...)

在Google Project Zero  研究员Tavis Ormandy发现可导致远程代码执行和信息泄露的关键漏洞后,uTorrent for Windows和uTorrent Web的开发人员一直在争先恐后地发布基于BitTorrent的点对点共享应用程序在访问恶意网站时的补丁版本。
根据各种报道,旧金山的BitTorrent公司上周为其Windows经典uTorrent桌面应用程序的最新测试版提供了修补程序。更新后的版本将在短期内自动推出,但目前也可供用户自行下载。BitTorrent工程副总裁Dave Rees也  告诉Engadget  ,本周早些时候针对uTorrent Web发布了一个单独的补丁。里斯进一步阐述了BitTorrent自己的基于Windows的应用程序也受到类似的影响,但随后被修复。
一个漏洞报告由奥曼迪书面解释说,这个问题涉及到应用程序远程过程调用服务器。“明确地说,访问 任何[恶意制作的]网站足以危害这些应用程序,”Ormandy在报告中称。
在uTorrentWeb的情况下,它使用Web界面并由浏览器控制,Ormandy解释说客户端的身份验证秘密存储在webroot内部,“因此您只需获取秘密并获得对服务的完全控制......需要一些简单的DNS重新绑定来进行远程攻击,但是一旦你有了秘密,你可以更改目录下的文件,然后将任何文件下载到任何可写的地方。“
DNS重新绑定攻击在恶意网页中使用JavaScript劫持受害者的​​路由器。为了进一步证明他的观点,Ormandy为这次袭击提供了一个有效的漏洞。
同时,uTorrent桌面应用程序被发现允许恶意网站使用强力技术枚举和复制用户下载的文件。Ormandy还发现了其他一些问题,包括用于创建创建身份验证令牌和cookie,会话标识符和配对密钥的伪随机数生成器不足。
在一封电子邮件中,以SC媒体英国,保罗比肖夫,隐私倡导者Comparitech.com ,说:“Torrenters必须学会迅速了解如何发现并保护自己免受恶意软件危害。透过BitTorrent和BitTorrent Trackers网站下载文件是黑客使用这两种常见的途径以传播恶意软件现在,添加到他们的关注列表是用于管理torrent下载的软件。
“谷歌的Project Zero团队采取了适当的预防措施,并在公开透露90天之前向torrent管理员的开发者私下泄露了uTorrent中的一个漏洞。对于uTorrent团队来说,在所有平台上修补其所有软件应该已经足够了,所以看到一些uTorrent用户现在已经面临零日漏洞,这真是令人遗憾。”

机器翻译+修改,来源:https://www.scmagazineuk.com/uto ... ure/article/746248/

应对:
暂时停止3.0以上版本
UT1.8.5-2.2.1 版本:
1. 请关闭Web UI功能(默认关闭)
2. 请关闭高级选项中的net.discoverable选项(默认开启)

如果您的问题得到解决,请修改标题加上“[已解决]”   在线病毒扫描

小小版主

成事不说,遂事不谏

Rank: 9Rank: 9Rank: 9

树叶
726
金币
26608
积分
2720

贡献勋章 SecurityExpert(病毒与安全)

沙发
发表于 2018-2-28 09:29:17 |只看该作者

RE: uttorrent的漏洞其实没那么危险

这要看你用的什么版本了

https://bugs.chromium.org/p/project-zero/issues/detail?id=1524

崩溃测试
https://anonym.to/?http://lock.cmpxchg8b.com/utorrent-crash-test.html
重绑定测试. 泄漏测试
(下面那个url打开之后只要显示uTorrent Proxy Vulnerability 那就没问题 然后等着就可以了)#如果等了半天什么也没有 那个转圈圈的小iframe页面变成了个什么invalid request 报错 这个报错是你ut返回的 这个情况是攻击失败.
#攻击成功之后 页面会有新信息被添加.
嵌入页面只是个演示页面 那个sid配置就是给那个小页面配置参数用的. 用来猜ut种子的id

http://lock.cmpxchg8b.com/Ahg8Aesh.html


google他们只说了
1. web版本.
2. 经典版本. 多经典我也不清楚 . 非web算经典还是 v2 v1算经典


首先这个攻击不是说第三方随意查看你的任何数据.
他是查看你已经下载了的种子的相关信息.

重绑定在这里效果就是给你解析到本地回环. 你别看这个很蠢.
要的就是这个效果!
你访问一个网站!
然后你发现你被接入了本地回环!!!
真不巧 你ut的webui的密码还是明文 还存在ut自己的web服务器里面 还能公开拉取.

密码明文保存在user.conf里面
http://localhost:10000/users.conf
如果这个你访问了直接是空白页 没数据 那这个攻击对你不起作用.
10000端口也可以改成你做种子的端口


他的这个还真挺巧妙
webui下载文件可以设定下载的位置
然后这个位置可以是开机启动的那个自启动文件夹...

偷文件怎么偷我就不清楚了 反正只可以查看已经下载的种子的信息
不知道webui是不是还可以直接做web服务器提取文件?

如果您的问题得到解决,请修改标题加上“[已解决]”   在线病毒扫描
您需要登录后才可以回帖 登录 | 注册


感谢版主

Archiver|手机版|电脑报官方网站 ( 渝ICP备10009040号 

GMT+8, 2018-4-21 19:42

回顶部