暴风影音2009ActiveX控件0Day溢出漏洞

    五一期间，安天实验室捕获到出现在互联网上的3个利用0day漏洞的网马，其中有两个是暴风影音2009的漏洞，作为影音播放器的暴风影音非常流行，所以利用暴风影音2009的0day漏洞挂马页面非常之多，这两个漏洞分别是暴风影音2009(mps.dll)ActiveX远程栈溢出漏洞、暴风影音2009(Config.dll)ActiveX远程栈溢出漏洞。另一个0day漏洞是中国游戏中心游戏大厅ActiveX远程栈溢出漏洞。
    下面举例分析一个利用暴风影音2009(mps.dll)ActiveX远程栈溢出漏洞挂马事件，安天实验室检测到南昌人免费信息资源网(http://www.ncr.cn/)被黑客挂马，其中网马中包含了利用了暴风影音2009(mps.dll)ActiveX远程栈溢出漏洞。下面是对挂马分析的部分截图。

图1 南昌人免费信息资源网挂马页面

图2 集成网马页面

图3暴风影音2009(mps.dll)ActiveX远程栈溢出漏洞

暴风影音2009(mps.dll)ActiveX远程栈溢出漏洞
受影响的系统：
暴风影音2009 <=[3.09.04.17]
细节：
CLSID:6BE52E1D-E586-474F-A6E2-1A85A9B4D9FB
文件:mps.dll
Sub OnBeforeVideoDownload(ByVal URL As String)
当参数URL是一个超长字符串时，发生栈溢出，利用堆填充技术，攻击者可以很轻松的利用此漏洞执行任意代码。

暴风影音2009(Config.dll)ActiveX远程栈溢出漏洞
受影响的系统：
暴风影音2009 <=[3.09.04.17]
细节：
CLSID:BD103B2B-30FB-4F1E-8C17-D8F6AADBCC05
文件:Config.dll
Sub SetAttributeValue (
ByVal lpQueryStr As String ,
ByVal bstrAttributeName As String ,
ByVal lpValueStr As String
)
当参数lpQueryStr是一个超长字符串时，发生栈溢出，利用堆填充技术，攻击者可以很轻松的利用此漏洞执行任意代码。

中国游戏中心游戏大厅ActiveX远程栈溢出漏洞
受影响的系统：
中国游戏中心游戏大厅2009
细节：
CLSID:75108B29-202F-493C-86C5-1C182A485C4C
文件:CGAgent.dll
Sub CreateChinagames (ByVal lpszToken As String)
参数lpszToken是一个超长字符串时，发生栈溢出，利用堆填充技术，攻击者可以很轻松的利用此漏洞执行任意代码。

临时解决办法：（禁用会导致软件功能缺失）
下列注册表脚本可以用于设置文件阻止策略，可以让您免除这三种漏洞的网马侵袭。
注：如果注册表使用不当，可能会导致严重的问题，或许需要您重新安装操作系统。修改注册表的风险由您自己承担。

建议用户通过注册表对相应的CLSID值
CLSID:BD103B2B-30FB-4F1E-8C17-D8F6AADBCC05
CLSID:6BE52E1D-E586-474F-A6E2-1A85A9B4D9FB
CLSID:75108B29-202F-493C-86C5-1C182A485C4C
设置Killbit
或者将以下文本保存为.REG文件并导入:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{6BE52E1D-E586-474F-A6E2-1A85A9B4D9FB}]
“Compatibility Flags”=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{BD103B2B-30FB-4F1E-8C17-D8F6AADBCC05}]
“Compatibility Flags”=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{75108B29-202F-493C-86C5-1C182A485C4C}]
“Compatibility Flags”=dword:00000400