ActiveX漏洞分析與防御策略研究

賀才良，周安民，劉 亮

（四川大學 信息安全研究所，四川 成都610064）

微軟公司在1996年開發了ActiveX控件技術，它是在組件對象模型（COM）的基礎上發展而來的。ActiveX控件的誕生與使用，大大擴展了IE瀏覽器的功能，使得IE瀏覽器處理Web文件的能力大大增強。

隨著ActiveX控件的應用越來越多，ActiveX漏洞曝光也從未間斷。自2006年開始每年都有大量的ActiveX漏洞曝光，其中大部分是高危漏洞，各種利用ActiveX漏洞的惡意軟件、木馬、病毒隨處可見，其引發的安全問題不容忽視。近年來ActiveX漏洞又有回升的趨勢，2011年1月～10月已公布的ActiveX漏洞就已經達到了89個[1]。在這些數據當中還不包括未曝光和未被統計的漏洞，ActiveX漏洞的嚴重程度可見一斑。因此針對ActiveX控件的安全研究十分地關鍵。

1 UUSee網絡電視UUPlayer.ocx控件漏洞逆向分析

2011下半年，UUSee網絡電視頻頻爆出ActiveX控件漏洞，灰帽子實驗室在6月2日曝光了UUSee的UUPlayer.ocx ActiveX控件中DoCmd函數存在緩沖區溢出漏洞[2]。由于UUSee網絡電視擁有龐大的用戶群，故該漏洞屬于“高?！毙吐┒础ｈb于該漏洞的典型性，本文以此為例對ActiveX漏洞進行逆向分析，調試的環境如表1所示。

表1 UUPlayer.ocx控件漏洞調試環境

用OllyDbg附加IE進程并運行，用IE打開POC文件。程序崩潰，OllyDbg捕捉到一個訪問異常，EIP寄存器指向了一個非法地址。采用?；厮莸姆椒ㄔ诘刂?x73D47AC1下硬件執行斷點。通過“跳過-異常-進入”方法跟蹤到調用漏洞函數指令處：

發現eax指向UUPlayer這個控件的地址空間，觀察此時的堆棧，一個可疑字符串出現在棧頂作為CALL EAX的調用參數，跟進此函數。以下列出了該函數中關鍵的反匯編代碼段。

關健代碼段1：

這部分代碼首先在棧內開辟0x84(132 B)的?？臻g，然后將參數所指字符串復制到開辟的棧空間里。從代碼可以看出，在復制之前沒有檢查字符串的長度，只要傳入的字符串長度超過開辟空間的大小就會造成溢出，實驗溢出示意圖如圖1和圖2所示。

從圖1、圖2可以看出，傳入的字符串剛好淹沒了返回地址。

關健代碼段2：

這部分代碼的功能是將字符串“x0ax00”(換行符)追加到上個字符串末尾，連接后的結果如圖3所示。返回地址恰好被覆蓋成了0X0A3F2C3F，可以通過堆噴射技術將此地址所在的區域布置成含有shellcode的內存塊[3]，當函數返回時就會跳到shellcode附近，然后堂而皇之地執行 shellcode。

經過逆向分析，整個函數的大致功能如下：將傳入的字符串寫入到棧內的緩沖區，然后在其末尾追加換行符，最后將整個字符串寫入到某個文件中。漏洞產生的原因是DoCmd方法沒有驗證字符串參數的長度，導致溢出。將此漏洞和網馬技術結合起來構造惡意網頁，攻擊者就可以在網站上掛馬了。Windows用戶如果安裝了漏洞版本的UUSee網絡電視軟件，且沒有修復漏洞，在用IE瀏覽掛馬網頁時就會遭受攻擊。由于UUSee網絡電視用戶眾多，ActiveX漏洞利用的成功率相當高，因此該漏洞的危害是很嚴重的。

2 ActiveX攻擊及防御策略

2.1 ActiveX攻擊方式

網絡釣魚是攻擊者利用ActiveX漏洞實施攻擊的主要手段，攻擊原理如圖4所示[4]。攻擊者先利用ActiveX漏洞構造一個惡意網頁，再以郵件的方式將鏈接發送給受害者。受害者使用IE瀏覽器瀏覽該網頁后，漏洞被觸發，嵌在網頁中的連接攻擊者主機或者服務器功能的Shellcode被執行。之后攻擊者給受害者主機上傳木馬。木馬盜取用戶信息后發送給攻擊者或者上傳至服務器，攻擊者再從服務器查看受害者的信息。

根據ActiveX控件的來源可以將ActiveX漏洞攻擊分為兩大類：(1)攻擊者提供惡意的有漏洞的ActiveX控件讓用戶下載并安裝，然后利用該ActiveX控件的漏洞實施攻擊；(2)攻擊者利用第三方軟件有漏洞的ActiveX控件實施攻擊。具體來講又可細分為三種情形，如表2所示。

表2 利用第三方控件的三種攻擊方式對比

2.2 ActiveX攻擊的防御策略

雖然輿論界有許多針對ActiveX的苛刻批評，但是現階段ActiveX仍然是IE瀏覽器插件的主要安裝手段，這就使得ActiveX漏洞在短期內不會消失。因此需要開發者和用戶聯合起來，采取安全措施積極地去防御ActiveX漏洞，盡量將風險降到最低。

2.2.1開發者的防御策略

開發安全的ActiveX控件對于ActiveX控件的安全至關重要。開發安全的ActiveX控件需要設計者、程序員、測試員三者在整個產品的生命周期內緊密配合，高度關注控件的安全特性。本文針對如何開發安全ActiveX控件，總結出了安全開發ActiveX控件的基本流程，如圖5所示。

圖5 開發安全ActiveX控件的一般流程

設計者需要做的工作有：

(1)綜合考慮ActiveX控件所帶來的好處和存在的隱患，考慮是否可以用其他方法來替代[5]；

(2)該控件是否需要被IE調用，如果是就必須將控件聲明為腳本安全，采用ATL站點限制模板（SiteLock ATL template）將控件進行站點限制，以禁止被別的站點非法使用[5]；

(3)在滿足要求的條件下為控件設計最少的功能以減少風險。對照表3所示的威脅列表[6]檢查各方法是否存在安全威脅。

表3 ActiveX控件威脅列表

程序員在編寫程序時應該以良好的軟件開發實踐為導向，編寫正確的安全的代碼[7]。在控件編寫完成并進行完善的測試之后，對控件數字簽名，防止被篡改。

測試員應對控件的每個方法進行各種輸入參數檢測，尤其注意對字符串參數長度和方法內部是否存在整數溢出等進行檢測。

2.2.2用戶的防御策略

用戶的防御策略主要包括以下三個方面：

（1）提高安全意識，不訪問可疑站點和非法站點。

（2）密切關注漏洞安全，及時升級 Windows系統和安裝漏洞補丁，這樣可以禁止、修復、移除系統中包含風險的ActiveX控件，確保系統安全。對于第三方控件的漏洞，用戶可以通過殺毒軟件修復或者手動修復。

（3）正確設置 IE瀏覽器。

IE瀏覽器有許多關于ActiveX控件的安全設置，可以阻擋大部分的ActiveX攻擊。微軟在高版本的IE瀏覽器中還增加了多個ActiveX安全設置選項，如IE7增加了Opt-in特性，IE8增加了Per-Site特性，這些特性大大增強了IE的安全性能。IE瀏覽器存在4個安全區域：Internet區域、本地Intranet區域、可信站點區域和受限站點區域，其默認的防御等級分別為：中高、中低、中、高。每個安全域都包含一些設置選項，表4所示為幾個重點設置選項（只考慮IE6及以上的版本）。

Internet域適用于大部分的站點，防御處于中高等級比較適宜。在特殊情況下，用戶需要下載未簽名的ActiveX控件或者控件沒有標記為可安全執行腳本卻需要使用腳本，則可以將該站點列入到防御等級較低的可信站點區域內。若用戶不信任某個站點，但仍然需要訪問它，則可以將其列入到“受限站點區域”。合理設置使用這4個區域既可以滿足用戶的需求又能使IE的安全性能得到最大的發揮。

從表4還可以看出，高版本的IE瀏覽器支持更多的ActiveX特性選項，其安全性比低版本的要高。另外ActiveX控件的安全性還與系統有關。在Windows Vista系統和Windows7系統中，IE運行在低完整性(Low-Integrity)保護模式下，當ActiveX控件需執行一些中、高完整性操作時會受到用戶賬戶控制（UAC）機制的限制，從而很多在Windows XP系統里的攻擊方式都會失效。關于這方面的技術讀者可參考相關文獻資料。

表4 安全域ActiveX重要設置選項說明

本文主要研究了ActiveX控件的安全問題，重點逆向分析了UUSee網絡電視ActiveX漏洞的形成原因及其危害，然后從開發者和用戶的角度提出了如何防止ActiveX控件漏洞的產生和針對ActiveX漏洞攻擊的防御策略。實踐證明，這些方法和策略能夠大大降低ActiveX控件漏洞的產生幾率，能夠有效地抵抗ActiveX攻擊。ActiveX控件技術應用相當廣泛，其引發的安全問題遍及整個Windows系統用戶，應當引起開發人員、Windows用戶和安全研究人員的高度重視。

[1]國家信息安全漏洞共享平臺.ActiveX漏洞統計[DB/OL].[2011-10-29].http://www.cnvd.org.cn.

[2]灰帽首發-UUSee 6.11.0412.1內存破壞遠程執行漏洞[EB/OL].[2011-10-29].http://www.huimaozi.net/?p=122.

[3]王清，張東輝，周浩，等.0day安全：軟件漏洞分析技術(第 2版)[M].北京：電子工業出版社，2011：201-203.

[4]LEE D H.Become fully aware of the potential dangers of ActiveX attacks[EB/OL].[2011-10-29].http://www.exploitdb.com/download_pdf/17506.

[5]Designing secure ActiveX controls[EB/OL].[2011-10-29].http://msdn.microsoft.com/en-us/library/aa752035.aspx#ax_repurposing.

[6]李永成，黃曙光，唐和平.ActiveX控件中不安全方法漏洞的檢測技術[J].微型機與應用，2010，29（6）：62.

[7]ActiveX security：improvements and best practices[EB/OL].[2011-10-29].http://msdn.microsoft.com/en-us/library/bb250471(v=vs.85).aspx.