cve-2019-6453 mIRC遠程代碼執行漏洞

mIRC是英國mIRC公司出品的IRC(Internet Relay Chat) 類客戶端軟體，目前風靡於全世界。界面優美，彩色文本行，全DCC、XDCC 文件發送和接收能力，aliases，遠程命令和事件操作，與位置相關的下拉菜單，WWW和聲音支持，還可以為你建立自己的組群，滿足你和朋友們單獨溝通的需求。

研究人員在mIRC應用中發現一個漏洞，攻擊者利用該漏洞可以遠程執行命令，下載和安裝惡意軟體。

mIRC安裝後會創建3個定製的URL URI scheme，分別是irc:, ircs: 和mircurl。可以用作啟動mIRC的鏈接，會自動連接到一個特定的伺服器。比如，點擊url irc://irc.undernet.org/，會使mIRC自動連接到irc.undernet.org伺服器。

安全研究人員Benjamin Chetioui和Baptiste Devigne發現一個新的漏洞允許攻擊者在這些URI scheme中注入命令，受影響的mIRC版本是7.55及之前版本。

在Windows中，URI scheme是映射到URL點擊後要帶命令行參數啟動的特定應用的。研究人員解釋說為了預防命令注入，Windows中定製的URI scheme應當使用sigil，以預防其他注入的命令行參數的語法分析。

在研究人員給出的例子中，說明了URI scheme中使用 – sigil來預防其他注入的命令行參數被分析。

Discord.exe" --url -- "%1"

mIRC雖然沒有使用sigil，當mIRC啟動時運行使用定製的配置文件。從下面的圖中可以看出當irc: link被點擊後Windows中執行的命令：

mIRC創建的IRC URI Scheme

為了利用該漏洞，研究人員搭建了一個含有定製的MIRC.ini文件的SAMBA伺服器，MIRC.ini是mIRC的配置文件。Ini文件含有執行另一個腳本的命令，會在計算機上執行命令。

這些命令可以在登陸用戶的安全環境下做任何事情，比如下載和安裝惡意軟體，創建新用戶，刪除文件等。

攻擊者需要做的就是發送一個鏈接到含有iframe的web頁面，iframe如下圖所示，可以打開定製的irc: URL：

惡意web網址

當用戶打開web站點後，iframe會觸發定製的URI並執行遠程腳本的命令，定製的URL會啟動使用遠程配置文件的mIRC。

遠程mIRC配置執行的腳本示例

PoC如下所示：

PoC示例

該漏洞的利用非常簡單，用戶打開一個web頁面就可以觸發漏洞利用，這樣的web鏈接可以通過釣魚郵件、論壇發帖或其他允許用戶提交內容的位置。

該漏洞在Mirc 7.55中修復了，修復時間為2019年2月8日。研究人員建議用戶儘快更新到mIRC 7.55機之後的新版本。

完整writeup參見https://proofofcalc.com/cve-2019-6453-mIRC/。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！