我们前几个月发现了一个联想电脑的漏洞,和WormHole非常类似:影响上亿用户、访问一个端口发送一条指令就可以让目标系统下载一个程序并执行。
联想ThinkVantageSystemUpdate软件用于帮助用户从联想的服务器中直接下载并安装软件、驱动、BIOS的更新,极大的简化了用户更新系统的难度和工作量。其被默认预装在联想的多款产品中。
LenovoSystemUpdate可根据不同的网络环境及配置通过多种方式下载软件及更新,其中一种方式为通过文件共享下载,而UNCServer.exe则是完成此功能的主程序,UNCServer.exe随SystemUpdate主程序启动,并建立本地服务端等待主程序连接。在早期版本中,甚至SystemUpdate主程序退出后,UNCServer.exe也仍然保持运行状态。
在SystemUpdate的5.6.0.34版本中,UNCServer.exe通过.NET的Remoting机制,通过TCP服务器提供多种功能。
.NETRemoting发展自DCOM,是一项比较老的.NET分布式处理技术。它序列化服务端的对象和数据并导出,客户端通过HTTP、TCP、IPC信道跨越进程边界实现对服务端对象的引用。然而Remoting的序列化机制会隐式导出对象所有的方法和属性,客户端一旦获得服务端导出的对象引用,即可调用服务端对象提供的所有方法。因此Remoting机制容易引入安全漏洞,且不建议将Remoting服务终端导出给不受信任的客户端。
UNCServer导出的Connector对象提供Connect、DownloadBean、IsFileExist、IsFolderExist、GetFilesInFolder、GetSubFolder、QueryFile、LaunchIE功能。客户端可以连接并获取其引出对象,进行文件下载、应用程序执行等操作。
其中LaunchIE并未对参数进行任何验证,可以用来启动任意进程,其实现代码如下:
caseUNCAction.LaunchIE:stringfileName=(string)eventObj;try{Process.Start(fileName);}catch{}this.connector.Current=(object)true;break;同时,虽然SystemUpdate在防火墙策略中只添加了UNCServer的出站规则,但由于UNCServer缺少必要的配置,使其绑定在0.0.0.0:20050上。因此在缺乏防火墙保护的情况下,任何机器都可与其建立连接,最终使用其提供的DownloadBean和LaunchIE功能实现远程下载程序并执行。
UNCServer建立服务端信道并导出对象的代码如下:
IDictionaryproperties=(IDictionary)newHashtable();properties[(object)"name"]=(object)"tvsuuncchannel";properties[(object)"priority"]=(object)2;properties[(object)"port"]=(object)20050;this.channel=newTcpServerChannel(properties,(IServerChannelSinkProvider)newBinaryServerFormatterSinkProvider());ChannelServices.RegisterChannel((IChannel)this.channel,false);this.status=newobject();this.connector=newConnector();RemotingServices.Marshal((MarshalByRefObject)this.connector,"Connector");this.connector.UNCEvent+=newConnector.UNCEventHandler(this.connector_UNCEvent);4.修复联想在2015/9/29日放出的SystemUpdate5.7.0.13修复了包括此问题在内的多个漏洞。其重新实现了LaunchIE、LaunchHelp功能,对其创建进程的参数进行了验证。并加强了服务端的配置,使其绑定在127.0.0.1:20050,阻止了远程请求。修复后的部分代码如下: